當你的私鑰被竊後，會發生什麼

一般來說，證書機構和數字證書行業中最常見的限制是「永遠不要讓私有金鑰出現任何問題。」不幸的是，只說『不好的事情可能會發生』有點含糊不清，而且缺乏衝擊力。因此，以下這個真實的例子，希望可以對每個人起到警醒作用。

研究人員發現乙個惡意軟體家族，他們利用台灣科技公司，如生產網路裝置的跨國企業d-link等公司缺乏保護的憑證進行數字簽名。

網路犯罪分子是如何偷盜私有金鑰的目前還不知道，但已知的是，犯罪分子已用金鑰簽名惡意軟體。

在我們討論惡意軟體簽名會發生什麼之前，先回顧一下**簽名（**簽名標準流程是，軟體開發人員通過可信證書頒發機構驗證，獲得可用於指令碼和可執行文件進行簽名的證書和私鑰。

這個解釋可能有點複雜，讓我換一種方式，當你進行簽名後，瀏覽器如果能追溯到它所信任的證書，則其會給予你信任。

將這些歸結為最簡單的術語：因為數字簽名會即時授予信任，所以只有受信任的開發人員才有資格對**進行簽名。

你已經大概知道其中的工作原理了。

正如the hacker news所闡述的，被盜取的金鑰對兩類惡意軟體進行了簽名：

「近來，來自eset的安全研究人員發現了兩大惡意軟體家族，它們之前與網路間諜集團blacktech有關聯。這兩大惡意軟體家族使用d-link網路裝置製造商和另一家名為changing information technology的台灣安全公司的數字簽名證書進行簽名。」

第一類惡意軟體名為plead。六月，日本計算機安全事件響應團隊（csirt）jpcert對plead做了乙個全面的分析。分析後發現，它的本質是個後門，能夠盜取資訊和窺探資訊。第二類惡意軟體是與密碼竊取者相關，它的主要目標是：

d-link和changing information technology公司在知道這一漏洞後，在7月4日撤銷了相關受損證書。

然而，black tech還繼續使用已被撤銷的證書來簽名惡意軟體。這聽起來可能有些愚蠢，但這個問題卻暴露了許多不同的反病毒解決方案的缺陷：它們不會掃瞄**簽名證書的有效性。

台灣科技公司不是首個受害者。2023年，stuxnet蠕蟲就使用從realtek和jmicron那裡盜取來的證書進行簽名。

回到文章開頭提到的內容，私鑰至關重要。金鑰被盜會導致一連串的問題，不管它是用於ssl證書，**簽名，還是個人身份驗證。顯然，其影響可能是災難性的。希望已簽名的惡意軟體家族最終不會引起大的問題，但簽署惡意軟體將幫助它繞過反病毒程式和瀏覽器過濾器，始終存在危險。

因此，以下是我們能給你的最好的建議：

將私有金鑰儲存在外部硬體令牌上

現在，將金鑰儲存在物理硬體令牌上的這一想法主要應用於加密貨幣行業，該行業稱其為硬體錢包。對於不同種類的私有金鑰儲存，加密貨幣行業在某種程度上是乙個有趣的測試案例,因為它就像瘋狂的美國西部，現在有各類黑客和「蛇油」營銷,當看到有人失去其財富時，每個人都會競相觀望，感到唏噓不已。

加密貨幣社群（與加密社群不同）推出了一系列重要的儲存解決方案，從層壓紙錢包到把它雕刻在物理位元幣的側面，再到**高昂的、處於「最前沿」的冷儲存解決方案。這些解決方案都不是最新的技術。

最好的解決方案是，離線儲存金鑰。如何做到這一點完全取決於你（有幾種方法），但要記住要把它妥善保管在辦公室的保險箱裡，或者放在別人不易竊取到的地方。

d-link和changing information technology公司如果之前這樣做，那麼要想竊取其金鑰就必須進行真正的盜竊或搶劫，而不是進行一些花哨的黑客行為。現在，誰又有時間進行黑客攻擊呢？