このページのトピック
ソフトウェアパッケージのデジタル署名の確認
エージェントをインストールする前に、ソフトウェアのZIPパッケージとインストーラファイルのデジタル署名を確認する必要があります。正しいデジタル署名は、ソフトウェアがトレンドマイクロからの正規品であり、破損または改ざんされていないことを示します。
ソフトウェアのチェックサム、およびセキュリティアップデートとエージェントモジュールのデジタル署名を検証することもできます。を参照してください。 Workload Security によるアップデートの整合性の検証方法を参照してください。
ソフトウェアZIPパッケージの署名の確認
Deep Security Agentとオンラインヘルプは、ZIPパッケージで提供されます。これらのパッケージはデジタル署名されています。 ZIPファイルのデジタル署名は、次の方法で確認できます。
ZIPをマネージャからエクスポートすることで
エージェントソフトウェアの入手に従って、ZIPファイルをエクスポートします。
エクスポート時に、 Workload SecurityはZIPファイルのデジタル署名を確認します。署名が有効な場合、 Workload Securityはエクスポートの続行を許可します。署名が無効または見つからない場合、 Workload Securityは処理を許可せず、ZIPを削除してイベントをログに記録します。
ZIPのプロパティファイルを表示することで
- Workload Security コンソールにログインします。
-
上部の [管理] をクリックします。
-
左側にある [ アップデート] → [ソフトウェア] → [ローカル] の順に展開します。
-
デジタル署名を確認するZIPパッケージを見つけてダブルクリックします。
ZIPファイルの[プロパティ]ページが開き、管理者がデジタル署名を確認します。署名に問題がない場合は、[署名] フィールドに緑色のチェックマークが表示されます。署名が有効でないか、存在しない場合、ManagerはZIPを削除し、イベントをログに記録します。
jarsignerを使用する
Managerで確認できない場合は、jarsigner Javaユーティリティを使用して a ZIPの署名を確認します。たとえば、Deep Securityソフトウェア ページなど、Manager以外のソースからエージェントのZIPパッケージを取得し、エージェントを手動でインストールする場合などです。このシナリオでは、Managerが関与しないため、jarsignerユーティリティを使用します。
jarsignerを使用して署名をチェックするには
1. 最新の Java Development Kit をコンピュータにインストールします。
2. ZIPをダウンロードします。
3. JDK内のjarsignerユーティリティ を使用して、署名を確認します。次のコマンドを実行します。
jarsigner -verify -verbose -certs -strict <ZIP_file>
例:
jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
4. エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。
インストーラーファイル(EXE、MSI、RPM、DEBファイル)の署名を確認する
Deep Security AgentおよびDeep Security Notifierのインストーラは、RSAを使用してデジタル署名されています。インストーラは、Windows上のEXEまたはMSIファイル、Linux OS上のRPMファイル (Amazon、CloudLinux、Oracle、Red Hat、およびSUSE)、またはDebianおよびUbuntu上のDEBファイルです。
次の手順では、インストーラファイルのデジタル署名を手動で確認する方法について説明します。このチェックを自動化するには、エージェント配信スクリプトにこのチェックを含めます。配置スクリプトの詳細については、配置スクリプトを使用してコンピュータを追加および保護する を参照してください。
確認するインストーラファイルの種類に対応する指示に従います。
EXEまたはMSIファイルの署名の確認
- EXEファイルまたはMSIファイルを右クリックし、[ プロパティ ]を選択します。
- [デジタル署名] タブをクリックし、署名を確認します。
RPMファイルの署名の確認
まず、GnuPGをインストールします。
署名を確認するエージェントコンピュータに GnuPG がインストールされていない場合は、インストールします。このユーティリティには、署名キーをインポートしてデジタル署名を確認するために必要なGPGコマンドラインツールが含まれています。
GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。
次に、署名キーをインポートします。
- エージェントのZIPファイルのルートフォルダにある
3trend_public.ascファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。 - 必要に応じて、ハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7(Agentバージョン20.0.0-2593以前の場合)
bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae(Agentバージョン20.0.0-2971以降)7a7509c5458c762f6a341820a93e09f0f1b9dd3258608753e18d26575e9c730f(Agentバージョン20.0.1-3180以降) - シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。
コマンドでは大文字と小文字が区別されます。
gpg --import 3trend_public.asc
次のメッセージが表示されます。
gpg: directory '/home/build/.gnupg' created gpg: new configuration file '/home/build/.gnupg/gpg.conf' created gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run gpg: keyring '/home/build/.gnupg/secring.gpg' created gpg: keyring '/home/build/.gnupg/pubring.gpg' created gpg: /home/build/.gnupg/trustdb.gpg: trustdb created gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
- GPGパブリック署名キーをASCファイルからエクスポートします:
gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign - GPGパブリック署名キーをRPMデータベースにインポートします:
sudo rpm --import RPM-GPG-KEY-CodeSign - GPGパブリック署名キーがインポートされたことを確認してください:
rpm -qa gpg-pubkey* - インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロ製品:
gpg-pubkey-e1051cbd-5b59ac99(エージェントバージョン20.0.0-2593またはそれ以前の場合)
gpg-pubkey-e1051cbd-6030cc3a(エージェントバージョン20.0.0-2971以降の場合)
gpg-pubkey-e1051cbd-659d0a3e(エージェントバージョン20.0.1-3180以降の場合)署名キーがインポートされ、エージェントRPMファイルのデジタル署名を確認するために使用できます。
最後に、RPMファイルの署名を確認します。
次の説明に従ってRPMファイルの署名を手動で確認する代わりに、配信スクリプトで署名を確認できます。詳細については、配布スクリプトを使用してコンピュータを追加および保護する を参照してください。
次のコマンドを使用します。
rpm -K Agent-PGPCore-<OS agent version>.rpm
例:
rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm
Agent-**PGP**Core-<...>.rpm ファイルに対して上記のコマンドを実行してください。Agent-Core-<...>.rpm で実行しても機能しません。エージェントのZIP内に Agent-PGPCore-<...>.rpm ファイルが見つからない場合は、新しいZIPを使用する必要があります。
- Deep Security Agent 11.0 Update 15以降のアップデート
または
- Deep Security Agent 12 Update 2以降
または
- Deep Security Agent 20以降
署名の検証に成功すると、次のメッセージが表示されます。
Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
DEBファイルの署名の確認
まず、dpkg-sigユーティリティをインストールします
署名を確認するエージェントコンピュータに dpkg-sig がインストールされていない場合は、インストールします。このユーティリティには、署名キーをインポートしてデジタル署名を確認するために必要なGPGコマンドラインツールが含まれています。
次に、署名キーをインポートします。
- エージェントのZIPファイルのルートフォルダにある
3trend_public.ascファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。 - 必要に応じて、ハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7( エージェントバージョン20.0.0-2593以前の場合)
bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae(エージェントバージョン20.0.0-2971以降)
7a7509c5458c762f6a341820a93e09f0f1b9dd3258608753e18d26575e9c730f( エージェントバージョン20.0.1-3180以降) - 署名を確認するエージェントコンピュータで、ASCファイルをGPGキーリングにインポートします。次のコマンドを使用します。
gpg --import 3trend_public.asc
次のメッセージが表示されます。
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
- オプションで、トレンドマイクロのキー情報を表示します。次のコマンドを使用します。
gpg --list-keys
次のようなメッセージが表示されます。
/home/user01/.gnupg/pubring.gpg
-------------------------------pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25] uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com> sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]
最後に、DEBファイルの署名を確認します。
次の説明に従って、DEBファイルの署名を手動で検証する代わりに、配置スクリプトを使用して検証を行うことができます。詳細については、配布スクリプトを使用してコンピュータを追加および保護する を参照してください。
次のコマンドを入力します。
dpkg-sig --verify <agent_deb_file>
<agent_deb_file> は、エージェントのDEBファイルの名前とパスです。例:
dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb
処理中のメッセージが表示されます。
Processing Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb...
署名の検証に成功すると、次のメッセージが表示されます。
GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778