Windows
 Computer >> コンピューター >  >> システム >> Windows

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

インターネットからプログラムをダウンロードするたびに、それが悪意のあるものではないことを開発者に信頼する必要があります。それを回避する方法はありません。しかし、これは通常、特に有名なソフトウェアや開発者にとっては問題ではありません。

ただし、ソフトウェアをホストするWebサイトはより脆弱です。攻撃者は、Webサイトのセキュリティを破壊し、プログラムを独自の悪意のあるバージョンに置き換えることができます。これは、バックドアが挿入されていることを除けば、元の外観とまったく同じように機能します。このバックドアを使用すると、攻撃者は通常の日常のコンピューティングのさまざまな部分を制御できます。コンピュータがボットネットに挿入されているか、さらに悪いことに、ユーティリティはクレジットカード/デビットカードを使用してその資格情報を盗むまで待機します。オペレーティングシステム、暗号通貨ウォレットなどの重要なソフトウェアをダウンロードするときは、特に注意する必要があります。

デジタル署名は1日を節約できます

ソフトウェア作成者は、製品に署名できます。攻撃者が秘密鍵を盗むことができない限り、誰かがこの署名を偽造できる既知の方法はありません。何千人ものユーザーが悪意のあるプログラムをダウンロードしたケースは数多くあり、ほとんどの場合、デジタル署名をチェックした場合、それらが無効であることに気づき、状況を回避できます。脆弱なWebサイトのソフトウェアを置き換えるのは比較的簡単ですが、適切に保存され、インターネットアクセスから隔離されている秘密鍵を盗むのは非常に困難です。

ここでデジタル署名の詳細を読むことができます。この記事では、Windowsユーティリティを使用してダウンロードを検証することを除いて、同じことについて説明します。

Gpg4winを使用してデジタル署名を検証する方法

このページに移動し、Gpg4winをダウンロードしてインストールします。賢い人は、「しかし、これが合法であることをどうやって知ることができますか?」と自問します。そして、それは良い質問です。これが壊れた場合、後のすべての手順は役に立たなくなります。

幸いなことに、開発者は、認証局によってソフトウェアに署名するためにすべての問題を経験しました。そして彼は彼のウェブサイトで彼のプログラムを検証するためのステップを詳述します。同様の暗号化を使用して有効性をチェックしますが、全体的な方法は異なります。これにはデジタル証明書が使用されます。

ファイルチェックサムの確認

ビットコインコアウォレットをダウンロードしたいとします。 x64 Windows実行可能ファイル(zipではなくexe)をダウンロードします。その後、「リリース署名の確認」をクリックして「SHA256SUMS.asc」ファイルをダウンロードします。最初のステップは、セットアップファイルのハッシュを確認することです。ハッシュについて詳しくは、こちらをご覧ください。

ダウンロードフォルダに移動し、Gpg4winをインストールすると、ファイルを右クリックできるようになり、新しいコンテキストメニューが表示されます。次の図のように、ビットコインセットアップファイル(ダウンロードしたexe)を右クリックし、[その他のGpgEXオプション]->[チェックサムの作成]を選択します。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

生成された「sha256sum.txt」とダウンロードした「SHA256SUMS.asc」の両方を開きます。 SHA256チェックサムを比較します。それらは完全に一致する必要があります。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

チェックサムをリストするファイルの署名を確認する

同じWebサイトからセットアップファイルとチェックサムのリストをダウンロードしたばかりですが、攻撃者がセットアップファイルを置き換えた場合、攻撃者はチェックサムのリストも簡単に置き換えることができます。しかし、彼ができないことは、署名を偽造することです。これは、既知の(正当な)公開鍵によって検証できます。まず、このキーをダウンロードする必要があります。

次の画像は、署名がどのように見えるかです。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

これはインライン署名です(検証するのと同じファイルに含まれています)。これは切り離され、別のファイルに含まれる場合があります。このテキストファイルの1文字だけを変更すると、署名が無効になります。これは、開発者がこれらの正確で具体的なコンテンツを正しいチェックサムで承認および署名したことを知る方法です。

開発者の公開鍵をインポートする

Bitcoinのダウンロードページの「BitcoinCoreReleaseSigningKeys」から公開鍵をダウンロードできます。予防措置として、別のソースからダウンロードできます。攻撃者が正当なキーを自分のものに置き換えた場合、それらが投稿または議論された他のすべての場所で正しいキー(および指紋)が見つかる可能性があります。

「SHA256SUMS.asc」を右クリックし、「復号化して検証」を選択します。プログラムは、公開鍵をまだ持っていないことを通知します。 「検索」をクリックします。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

検索には時間がかかる場合があります。 「検索」フィールドの文字列に注意してください。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

これをコピーしてGoogleに貼り付けると、この公開鍵の指紋が正当なフォーラムのスレッドやウェブサイトなどで議論されているかどうかを確認できます。見つけた場所が多いほど、意図した所有者のものであると確信できます。

キーをクリックしてインポートします。方法がわからない場合、または今すぐこれを行いたくない場合は、次に表示されるプロンプトで[いいえ]をクリックします(キーを認証するための対策を講じます)。

最後に、「監査ログの表示」をクリックします。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

次の画像「Goodsignature」で強調表示されているテキストが表示されます。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

「SHA256SUMS.asc」の1文字だけを変更してみてください。そうすれば、次の画像に示されているものが得られます。

デジタル署名を使用してWindowsソフトウェアの信頼性を確認する方法

結論

彼らのソフトウェアが彼らから来ていることを確認する可能性をあなたに与える開発者はほとんどいません。ただし、通常、機密データを処理するプログラムや非常に重要なプログラムは、このオプションを提供します。それを使用すると、いつかトラブルからあなたを救うかもしれません。


  1. Scoop を使用して Windows ソフトウェアをインストールおよび更新する方法

    Scoop は、Windows プログラム用の単純なコマンドライン インストーラーです。前のガイドでは、Scoop をインストールし、コマンド ラインで起動して実行する方法を説明しました。この投稿では、Scoop の主な機能の概要を簡単に説明し、Windows でのソフトウェア インストールの管理に Scoop がどのように役立つかを説明します。 通常のインストール手順は次のようなものです。ダウンロード Web サイトに移動し、インストーラーをダウンロードしてプロンプトをクリックします。手順中に気を散らそうとする広告を回避できることを願っています。プログラムを更新するときが来たら、おそらくシ

  2. Windows PC で「Windows はこのファイルのデジタル署名を検証できません」エラーを修正する方法

    多くの場合、USB ポートはデバイスに接続されているハードウェアを認識できません。「Windows はデジタル署名を検証できません」 というメッセージとともに迷惑なエラー コード 52 が表示されることがあります。 名前が意味するように、エラーは通常、デジタル署名に関連しており、通常、Windows のアップグレード後またはデバイス マネージャーでのドライバーの障害後に表示されます。 デジタル署名とは正確には何ですか? Windows は有効なデジタル署名を使用して、次の種類の情報を確認します: ファイルまたはファイルのコレクション (ドライバー パッケージなど) は署名されて