Certifikat från Nvidia nyttjas för skadlig programvara

man är inte förvånad men samtidigt undrar man varför mångmiljardföretag inte investerar ett system med HSM för alla sina nycklar: https://en.wikipedia.org/wiki/Hardware_security_module

Detta är ett härke, svårt att hantera end-of-life och livscykel på certifikat som dessa. En sak att tillåta gamla drivrutiner, men man kan ju signera nya saker med dem, kanske skaffa en ’whitelist’ på alla hashar på alla giltiga drivrutiner som det certet signerat innan utgångsdatum?

det här borde väl inte vara så jävla svårt kan man tycka,
jag köper ju att windows okejar gamla cert annars skulle otroligt många gamla drivrutiner till gamla maskiner sluta fungera,
men den borde ju kunna matcha signerat datum mot certets utgångsdatum, om något har signerats efter att certet gick ut så är något lurt och borde stoppas.

Detta är extremt svårt att komma runt om inte alla drivrutinsleverantörer signerar om alla sina drivrutiner med sina senaste certifikat. En gammal scanner med drivrutiner från en numera död tillverkare som farsan köpte någonstans.

Går det att se vilket datum drivrutiner signerades med ett certifikat? Det borde varit en feature annars.

Det kan man säkerligen också bara fake:a genom att ändra datum på datorn när man signerar eller något liknande.

Ja, om du högerklickar på en fil och väljer properties och sen går till digital signatures så ser man vilket script som användes för att signera samt när det signerades. så det borde inte vara så jävla knepigt att få till en kontroll på om ett gammalt cert använts genom att matcha sign date mot expiration date.

Har du certet och nyckeln kan du välja vilket datum du vill, alltså även 1980 om du vill

Inga problem att kringgå en så enkel check, men t.ex MS eller Nvidia vet ju vilka giltiga drivrutiner som släpptes under certets livslängd och kan då släppa en lista med giltiga

Ja, det finns ett koncept för timestamping av kodsignaturer (görs via en "godkänd" timestampingtjänst från extern part). Och det är så det brukar hanteras också, att signaturen måste ha gjorts under certifikatets giltighetstid för att vara giltig.

Det låter i artikeln som att Windows accepterar dessa nya signaturer, vilket låter oväntat. Men vore intressant med en mer ingående artikel om vad exakt de gör, i vilket sammanhang det används, osv.

Sign date går ju enkelt att manipulera, när signaturen faktiskt görs är ju det datumet bara en text-sträng någonstans som är med i den data-blob som ska hashas. Kan man signera så kan man (om man vet vad man gör) manipulera ett datum också.

De nya signaturerna har nog ett datum som ser gammalt ut

Hur har de lyckats få någon betrodd part att generera ett sådant timestamp åt dem, isf?

För tydlighets skull, timestampen är inte något man skapar själv när man signerar, man får den från betrodd parts specifika tjänst för ändamålet. Man får ropa på t.ex. http://timestamp.digicert.com eller vem det nu är med datan som ska få en tidstämpel.

Tror inte det behövs signerade tidsstämplar för att signera binärer, men kan ha fel

Nej, inte ett strikt krav, men det normala beteendet är att om man inte gjort det så blir signaturen ogiltig tillsammans med certet.

Dvs, tidsstämpeln (inom certets giltighetstid) krävs för att signaturen ska fortsätta att vara giltig bortom certets livstid.

Det låter rimligt, men tror inte det efterföljs alls, annars hade ju inte denna artikel blivit skriven

Kanske blev det en standard först senare, till exempel med UWP eller andra nya binära format?

Ja, baserat på artikeln så verkar det ju som att detta måste valideras på olika grund i olika sammanhang (tyvärr).