デジタル署名を使用して Windows ソフトウェアの信頼性を確認する方法

インターネットからプログラムをダウンロードするたびに、それがマルウェアではないという開発者を信頼する必要があります。他に方法はありません。しかし、通常、特に有名な開発者やソフトウェアの場合、これは問題になりません。

ただし、ソフトウェアをホストする Web サイトは攻撃に対してより脆弱です。攻撃者は Web サイトのセキュリティを侵害し、プログラムを悪意のあるバージョンに置き換える可能性があります。悪意のあるバージョンは、バックドアが挿入されていることを除けば、見た目も機能もオリジナルとまったく同じです。このバックドアを使用すると、攻撃者はコンピュータのさまざまな部分を制御できます。コンピュータがボットネットに組み込まれたり、さらに悪いことに、マルウェアはクレジット カード/デビット カードが使用されてログイン情報が盗まれるまで待機します。オペレーティング システム、暗号通貨ウォレット、またはその他の同様のソフトウェアなどの重要なソフトウェアをダウンロードする場合は、特に注意する必要があります。

デジタル署名を使用して Windows ソフトウェアを認証する手順

• デジタル署名は今日の時代にあなたを守ることができます
• Gpg4win を使用してデジタル署名を検証する方法
• ファイルのチェックサムを確認する
• チェックサムリストファイルの署名を確認してください
• 開発者の公開キーを入力します

デジタル署名は今日の時代にあなたを守ることができます

ソフトウェア作成者は自分の製品に「署名」できます。攻撃者がソフトウェア作成者の秘密キーを盗めない限り、この署名を偽造する方法はありません。数千人のユーザーが悪意のあるプログラムをダウンロードしたケースは数多くありますが、ほとんどの場合、デジタル署名をチェックしていれば、それらが無効であることに気づき、状況は回避できたはずです。脆弱な Web サイト上のソフトウェアを置き換えるのは比較的簡単ですが、適切に保管され、インターネット アクセスから隔離されている秘密キーを盗むのは非常に困難です。

デジタル署名の詳細については、「デジタル署名を使用して Linux ソフトウェアの信頼性を確認する方法」の記事を参照してください。この記事では、ダウンロードの認証に Windows ユーティリティを使用する点を除いて、同じことについて説明します。

Gpg4win を使用してデジタル署名を検証する方法

Gpg4win をダウンロードしてインストールします。賢い人は、このソフトウェアが正規のものであることを確認する方法を疑問に思うでしょう。これは良い質問です。このダウンロード ページが壊れている場合、その後の手順はすべて無駄になります。

幸いなことに、開発者の Gpg4win は、苦労してソフトウェアを認証局に署名してもらい、Web サイトでプログラムを検証する手順を詳しく説明しています。有効性のチェックには同じ暗号が使用されますが、全体的な方法は異なります。これにはデジタル証明書が使用されます。

ファイルのチェックサムを確認する

Bitcoin Coreウォレットをダウンロードするとします。 Windows x64 実行可能ファイル ( zipではなくexe ) をダウンロードします。次に、「リリース署名の確認」をクリックして、SHA256SUMS.asc ファイルをダウンロードします。最初のステップは、セットアップ ファイルのハッシュを確認することです。

ダウンロード フォルダーに移動し、Gpg4win がインストールされている場合は、ファイルを右クリックすると、新しいコンテキスト メニューが表示されます。以下の画像のように、ビットコイン インストール ファイル (ダウンロードしたexe ) を右クリックし、 [その他の GpgEX オプション] > [チェックサムの作成]を選択します。

作成したsha256sum.txt ファイルとダウンロードしたSHA256SUMS.ascファイルの両方を開きます。 SHA256 チェックサムを比較すると、それらは同じであるはずです。

チェックサムリストファイルの署名を確認してください

セットアップ ファイルとチェックサム リストを同じ Web サイトからダウンロードしただけであっても、攻撃者がセットアップ ファイルを置き換えると、チェックサム リストも簡単に置き換えることができます。ただし、ハッカーは署名を偽造できません。それは、既知の (正当な) 公開鍵によって確認できます。まず、このキーをダウンロードする必要があります。

署名画像は次のようになります。

これはインライン署名です (検証する同じファイルに含まれます)。場合によっては、この署名が分離されて別のファイルに配置されることがあります。このテキスト ファイル内の 1 文字だけを変更すると、署名は無効になります。これは、開発者がこれらの正確な特定のアセットを正しいチェックサムで承認し、署名したことを確実に知る方法です。

開発者の公開キーを入力します

公開鍵は、ビットコインのダウンロード ページの「ビットコイン コア リリース署名キー」セクションでダウンロードできます。予防措置として、別のソースからダウンロードできます。攻撃者が正規のキーを自分の秘密キーに置き換えると、正しいキー (および指紋) が投稿または議論された他のすべての場所で見つかることになります。

SHA256SUMS.ascを右クリックし、[復号化と検証]を選択します。プログラムは、公開キーを持っていないことを通知します。 「検索」をクリックします。

検索には時間がかかる場合があります。 「検索」フィールドの文字列に注目してください。

コピーして Google に貼り付けると、正規の Web サイトやフォーラムで議論されている公開鍵のフィンガープリントを確認できます。この公開キーを見つける場所が増えるほど、それが正当な所有者に属していることがより確実になります。

キーをクリックして入力します。方法がわからない場合、または今すぐ実行したくない場合は、次に表示されるプロンプト (キーを確認するための措置を講じる) で [いいえ] をクリックできます。

最後に、「監査ログの表示」をクリックします。

次の画像では、Good 署名テキストが強調表示されているのがわかります。

SHA256SUMS.asc内の 1 文字だけを変更してみると、次の図に示す結果が得られます。

ソフトウェアが自社製かどうかを確認できる開発者はほとんどいません。ただし、通常、機密データや非常に重要なデータを処理するプログラムでは、このオプションが提供されます。デジタル署名チェック オプションを使用すると、いつかトラブルから救われるかもしれません。

成功することを願っています。