【大紀元3月23日訊】微軟在3月22日向其所有用戶發出警告,兩份含有該公司名稱和授權的數字証書近日已被發現失竊。微軟提醒用戶,在遇到任何含該公司授權數字認証的程序時,都應慎重行事,尤其不要相信簽發日為1月29日和30日的數字証書,因為獲得了數字認証的人能夠偽裝成微軟身份向不加怀疑的用戶發送電腦病毒。
微軟發言人稱,這兩份數字証書是由Verisign公司在上述兩日被人利用欺詐手段而簽發出去,詐騙者自稱是微軟員工。
VeriSign公司的數字認証是微軟互聯网軟件的安全密碼鎖,微軟公司利用這种數字認証來保証其軟件的真實性。微軟說:“此次事件的危險性在于即使一個很有安全意識的用戶也會同意接收某些內容并有可能同意總是相信假冒的數字認証。”
數字証書由作為第三方的Verisign等特許公司簽發,用于証明一個程序的軟件代碼是由某一家公司編寫,并且該程序是安全的。利用网絡瀏覽器登錄一個含ActiveX控件的网站時經常會遇到這种數字認証,一般此時會出現一個對話框,詢問用戶是否信任該代碼并允許該程序在其系統中運行。犯罪分子很可能利用被竊的兩張數字証書對用戶构成危害,而且欺詐方法也不限于上述這一种。目前微軟正在加緊制作可供下載的補救程序,但尚需等待一周左右才能完成。
微軟發言人稱,此次事故是因Verisign的人為失誤造成的,証書簽發人在操作時未遵循相關的規定步驟。對于這一點,Verisign表示承認,并稱這是該公司首次遭遇欺詐。
另外,這兩份數字証書已被Verisign“注銷”,但目前几乎所有版本的IE瀏覽器都沒有檢查“注銷列表”的功能。不過以后的版本可望對此有所改進。
附數字証書說明:
數字証書又稱數字認証,是用電子手段來証實一個用戶的身份和對网絡資源的訪問的權限。在网上的電子交易中,如雙方出示了各自的數字憑証,并用它來進行交易操作,那么雙方都可不必為對方身份的真偽擔心。
——數字憑証可用于電子郵件、電子商務、群件、電子基金轉移等各种用途。
——數字憑証的內部格式是由CCITT X.509國際標准所規定的。
相關文章
