0 votes

Melab avatar

Comment extraire les certificats X.509 intégrés dans les exécutables ?

Demandé el 29 de Août, 2016
Quand la question a-t-elle été
632 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Cela devrait être très simple, mais je ne parviens pas à trouver une réponse directe à cette question. J'ai quelques binaires Mach-O qui contiennent des certificats intégrés. Certains d'entre eux ne sont pas des signatures, mais plutôt des certificats racine que le code utilise pour vérifier d'autres signatures. Certains d'entre eux peuvent également être des signatures. Je travaille sur certains des exécutables de base d'Apple ici, donc cela pourrait aider. Comment puis-je les extraire d'eux ?

Demandé el 29 de Août, 2016 par Melab

0 votes

Avatar de Graham Miln

Comment savez-vous que les binaires exécutables contiennent des certificats ? Pouvez-vous voir les certificats à l'aide de la fonction outils pour le format des fichiers d'objets ?

Commenté el 29 de Août, 2016 par Graham Miln

0 votes

Avatar de Melab

@GrahamMiln Je les ai ouverts en utilisant un éditeur hexagonal.

Commenté el 29 de Août, 2016 par Melab

Réponse

Trop de publicités?

2voto

Graham Miln avatar
Graham Miln Points 39606

Les certificats racine d'Apple sont disponibles via Keychain.app dans le Système trousseau de clés. Avant de déployer trop d'efforts, confirmez que les certificats que vous essayez d'extraire sont réellement différents de ceux du trousseau du système.

N'oubliez pas de consulter le code source publié par Apple pour ses outils, la signature du code et la vérification des signatures à l'adresse suivante https://opensource.apple.com ou demandez à participer à la liste de diffusion sur la cryptographie d'Apple pour discuter directement avec les ingénieurs en sécurité d'Apple.

Mach-O peut-être ?

En supposant que les certificats intégrés sont stockés dans un fichier data segment des dossiers Mach-O, voir l'article Analyse syntaxique des fichiers Mach-O pour plus de détails sur la façon d'accéder à ce contenu.

L'outil open source MachOView fournira probablement suffisamment d'informations pour juger si le certificat est codé comme un segment Mach-O.

Répondu el 29 de Août, 2016 par Graham Miln (39606 Points )

0 votes

Avatar de Melab

Est-ce que le certificat utilisé pour vérifier les extensions du noyau serait stocké dans kextload ? Je ne pense pas que le code source public d'Apple comprenne quoi que ce soit sur les clés utilisées pour vérifier les exécutables et les extensions.

Commenté el 29 de Août, 2016 par Melab

0 votes

Avatar de Graham Miln

Vous devriez demander à Apple directement sur leur liste de diffusion sur la cryptographie ; pas besoin de deviner.

Commenté el 29 de Août, 2016 par Graham Miln

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X