Společnost Adobe prověřuje případy možného nepatřičného používání certifikátu podpisu kódu společnosti Adobe pro systém Windows. Dne 4. října 2012 jsme daný certifikát odvolali, a to pro veškeré softwarové kódy podepsané po 10. červenci 2012.

Odvolání příslušného certifikátu

Otázka: Proč společnost Adobe daný certifikát odvolala?

Odpověď: Abychom zajistili důvěryhodnost originálního softwaru společnosti Adobe, tak jsme tento certifikát dne 4. října 2012 odvolali, a to pro veškerý softwarový kód podepsaný po 10. červenci 2012. Právě u nás probíhá vydávání aktualizací podepsaných novým digitálním certifikátem u veškerých dotčených produktů.

Vysvětlení problematiky podepisování kódu

Otázka: Co je certifikát podpisu kódu?

Odpověď: Certifikáty podpisu kódu se používají k digitálnímu podepisování softwarových programů. Mnoho společností vyvíjejících software, včetně Adobe, digitálně podepisuje programy, které vytváří, aby ujistily zákazníky, že programy jsou legitimní a nebyly modifikovány.

Otázka: Jak podepisování kódu funguje?

Odpověď: Digitální podpisy používají veřejnou technologii šifrování pomocí klíčů, jíž zabezpečují kód a potvrzují jeho pravost.

  1. Vývojář programu doplňuje kód či obsah digitálním podpisem využívajícím jedinečného osobního klíče umístěného v certifikátu podpisu kódu.
  2. Když uživatel stáhne podepsaný kód nebo se s ním setká, použije jeho systémový software nebo aplikace veřejný klíč k dešifrování podpisu.
  3. Systém hledá „kořenový“ certifikát s identitou, které důvěřuje, nebo kterou rozpozná jako potvrzení pravosti podpisu.
  4. Systém poté porovná hodnotu hash použitou k podpisu aplikace s hodnotou hash stažené aplikace.
  5. Pokud systém kořenovému certifikátu důvěřuje a shodují-li se hodnoty hash, stahování nebo spouštění pokračuje.
  6. Nedůvěřuje-li systém kořenu nebo neshodují-li se hodnoty hash, přeruší stahování a zobrazí upozornění nebo se stažení nezdaří.

Otázka: Lze certifikát podpisu kódu použít pro jiné účely než podpis kódu?

Odpověď: Ne. Všechny digitální certifikáty nesou označení, které omezuje jejich použití. Tento konkrétní certifikát lze použít pouze k digitálnímu podpisu programů. Digitální certifikáty nelze použít k šifrování dat, podpisu dokumentů nebo e-mailů či k čemukoli jinému kromě podepisování programů.

Jak situace ovlivní zákazníky v oblasti zabezpečení

Otázka: Byl certifikát odvolán v důsledku ohrožení zabezpečení nebo chyby produktu Adobe?

Odpověď: Ne. Tato záležitost nemá vliv na bezpečnost vašeho autentického software společnosti Adobe.

Otázka: Existuje nějaké jiné nebezpečí pro uživatele z hlediska bezpečnosti?

Odpověď: Máme pádný důvod k přesvědčení, že tato záležitost nepředstavuje žádné obecné bezpečnostní riziko. Prozatím zjištěné důkazy představují jedno jediné zjištění dvou škodlivých utilit podepsaných certifikátem, které nasvědčuje tomu, že certifikát nebyl použit k podpisu žádného rozšířeného škodlivého softwaru.

Otázka: Není-li můj software v důsledku tohoto problému vystaven riziku, proč je nutné provést aktualizaci?

Odpověď: Společnost Adobe aktualizuje veškeré dotčené produkty, aby svým zákazníkům dodala softwarový kód podepsaný novým digitálním certifikátem. Chcete-li zjistit, zda je aktualizace podepsaná novým digitálním certifikátem k dispozici i pro vaši instalaci softwaru od společnosti Adobe, přečtěte si článek Aktualizace bezpečnostních certifikátů.

Jak situace ovlivní zákazníky v oblasti odvolání certifikátu

Otázka: Ovlivní nějak odvolání certifikátu software Adobe na veškerých platformách?

Odpověď: Ne. Odvolání certifikátu se týká platformy Windows a tří aplikací Adobe AIR*, které se spouštějí v systémech Windows a Mac OS. Odvolání neovlivní žádný jiný software společnosti Adobe pro systém Mac OS nebo jiné platformy.

* Aplikace Adobe Muse, Adobe Story AIR a služby pro stolní počítače dostupné na webu Acrobat.com

Otázka: Má odvolání dotčeného certifikátu jakýkoli vliv na aplikace Adobe AIR třetích stran?

Odpověď: Ne. Odvolání certifikátu ovlivní pouze aplikace AIR vyvinuté společností Adobe a podepsané příslušným certifikátem podpisu kódu společnosti Adobe. Společnost Adobe právě vydává aktualizace pro tyto aplikace podepsané svým novým certifikátem podpisu kódu.

Otázka: Jak zákazník s nainstalovaným originálním softwarem společnosti Adobe podepsaným příslušným certifikátem pocítí odvolání tohoto certifikátu?

Odpověď: Zákazníci by během odvolávání certifikátu neměli zaznamenat nic mimořádného. U některých zákazníků, zejména u správců ve spravovaných prostředích Windows, bude pravděpodobně třeba podniknout určité opatření. Chcete-li zjistit, zda se to dotýká vás nebo vaší organizace, přečtěte si článek Aktualizace bezpečnostních certifikátů.

Otázka: Není-li software od společnosti Adobe ohrožen a neměl-li by zákazník během procesu odvolání certifikátu zaznamenat nic mimořádného, proč je třeba aktualizovat můj software Adobe?

Odpověď: Společnost Adobe aktualizuje veškeré dotčené produkty, aby svým zákazníkům dodala softwarový kód podepsaný novým digitálním certifikátem. Chcete-li zjistit, zda je aktualizace podepsaná novým digitálním certifikátem k dispozici i pro vaši instalaci softwaru od společnosti Adobe, přečtěte si článek Aktualizace bezpečnostních certifikátů.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online