当信任成为攻击武器:代码签名如何被系统性地武器化
2012年,一种名为Flame的恶意软件在中东地区的计算机系统中悄然蔓延。它不仅使用了有效的数字证书签名,而且这个证书竟然来自一家知名的硬件制造商——宏碁的一家台湾子公司。安全研究人员最初以为自己看错了:一个经过微软Windows系统完整验证的、带有可信证书链签名的文件,怎么可能是恶意软件? ...
数字证书
信任链的二十年困局:为何HTTPS安全建立在一百多个单点故障之上
2011年8月28日,一名伊朗用户在访问Gmail时发现浏览器显示的证书异常。这条看似微不足道的线索,揭开了一场影响超过30万人的大规模中间人攻击。攻击者不是破解了加密算法,也没有入侵Google的服务器——他们只是拿到了一张合法的证书。 ...