目次

ソフトウェアパッケージのデジタル署名の確認

エージェントをインストールする前に、ソフトウェアのZIPパッケージとインストーラファイルのデジタル署名を確認する必要があります。デジタル署名が正しいことは、ソフトウェアがトレンドマイクロから認証されており、破損していないことを示しています。

あなたは:

ソフトウェアのチェックサム、およびセキュリティアップデートとエージェントモジュールのデジタル署名を検証することもできます。を参照してください。 Workload Security によるアップデートの整合性の検証方法を参照してください。

ソフトウェアZIPパッケージの署名の確認

Deep Security Agentおよびオンラインヘルプは、ZIPパッケージで提供されます。これらのパッケージはデジタル署名されています。ZIPファイルのデジタル署名は、次の方法で確認できます。

ZIPをマネージャからエクスポートすることで

エージェントソフトウェアの入手に従って、ZIPファイルをエクスポートします。
エクスポート時、 Workload Security はZIPファイルのデジタル署名をチェックします。署名が適切な場合は、 Workload Security によってエクスポートを続行できます。署名が不正な場合、または存在しない場合、 Workload Security は処理を禁止し、ZIPを削除してイベントをログに記録します。

ZIPのプロパティファイルを表示することで
  1. Workload Security コンソールにログインします。
    2.上部の [管理] をクリックします。
    3.左側にある[ アップデート]→[ソフトウェア]→[ローカル]の順に展開します。
    4.デジタル署名を確認するZIPパッケージを見つけてダブルクリックします。
    5.ZIPファイルの プロパティ ページが開き、マネージャーはデジタル署名をチェックします。署名が良好な場合は、 シグニチャ フィールドに緑色のチェックマークが表示されます。(下の画像を参照)シグネチャが不良であるか、存在しない場合、マネージャはZIPを削除し、イベントをログに記録します。
    署名フィールドに緑色のチェックマークが付いたファイルプロパティページ
jarsignerを使用する

jarsigner Javaユーティリティを使用して、 a ZIP上の署名がマネージャから確認できない場合にチェックします。たとえば、 Deep Security Software ページなど、マネージャ以外のソースからエージェントZIPパッケージを取得した後、エージェントを手動でインストールする場合を想定します。このシナリオでは、managerが関与していないため、jarsignerユーティリティを使用します。
jarsignerを使用して署名をチェックするには
1.最新の Java Development Kit をコンピュータにインストールします。
2.ZIPをダウンロードします。
3.JDK内のjarsignerユーティリティを使用して、署名を確認します。コマンドは次のとおりです。
jarsigner -verify -verbose -certs -strict <ZIP_file>
例:
jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
4.エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。

インストーラファイル (EXE、MSI、RPM、またはDEBファイル) の署名の確認

Deep Security AgentおよびDeep Security Notifierのインストーラは、RSAを使用してデジタル署名されています。インストーラは、Windows上のEXEまたはMSIファイル、Linux OS上のRPMファイル(Amazon、CloudLinux、Oracle、Red Hat、およびSUSE), )、またはDebianおよびUbuntu上のDEBファイルです。

以下の手順では、インストーラファイルでデジタル署名を手動で確認する方法について説明します。この確認を自動化したい場合は、これをAgentインストールスクリプトに含めることができます。インストールスクリプトの詳細については、「インストールスクリプトを使用したコンピュータの追加と保護」を参照してください。

確認するインストーラファイルの種類に対応する指示に従います。

EXEまたはMSIファイルの署名の確認

  1. EXEファイルまたはMSIファイルを右クリックし、[ プロパティ ]を選択します。
  2. [デジタル署名] タブをクリックし、署名を確認します。

RPMファイルの署名の確認

まず、GnuPGをインストールします。

署名を確認する予定のエージェントに GnuPG がインストールされていない場合は、インストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。

GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。

次に、署名キーをインポートします。

1.エージェントのZIPファイルのルートフォルダにある 3trend_public.asc ファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。
2.(オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-2.56ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7 (Agentバージョンが20.0.0-2593以前の場合)
bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae (Agentのバージョンが20.0.0-2971以降の場合)
3.シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。

コマンドでは大文字と小文字が区別されます。

gpg --import 3trend_public.asc
次のメッセージが表示されます。
gpg: directory '/home/build/.gnupg' created
gpg: new configuration file '/home/build/.gnupg/gpg.conf' created
gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring '/home/build/.gnupg/secring.gpg' created
gpg: keyring '/home/build/.gnupg/pubring.gpg' created
gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
4.GPGパブリック署名キーをASCファイルからエクスポートします:
gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign
5.GPGパブリック署名キーをRPMデータベースにインポートします:
sudo rpm --import RPM-GPG-KEY-CodeSign
6.GPGパブリック署名キーがインポートされたことを確認してください:
rpm -qa gpg-pubkey*
7.インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロ製品:
gpg-pubkey-e1051cbd-5b59ac99(Agentバージョンの場合は20.0.0-2593以前を含む)
gpg-pubkey-e1051cbd-6030cc3a(Agentのバージョンが20.0.0-2971以降の場合)
署名キーがインポートされました。エージェントRPMファイルのデジタル署名の確認に使用できます。

最後に、RPMファイルの署名を確認します。

RPMファイルの署名を手動で確認するのではなく、次に説明するように、配信スクリプトで署名を確認することもできます。詳細については、「インストールスクリプトを使用したコンピュータの追加と保護」を参照してください。

次のコマンドを使用します。
rpm -Kエージェント-PGPCore-<OSエージェントのバージョン> .rpm

例:
rpm -K Agent-PGPCore-RedHat_EL7-11.0。0-950.x86_64.rpm

Agent-**PGP**Core-<...>.rpm ファイルに対して上記のコマンドを実行してください。( Agent-Core-<...>.rpm で実行しても機能しません)。エージェントZIPで Agent-PGPCore-<...>.rpm ファイルが見つからない場合は、新しいZIPを使用する必要があります。具体的には次のとおりです。
- Deep Security Agent 11.0 Update 15以降のアップデート
or
- Deep Security Agent 12 Update 2以降
or
- Deep Security Agent 20以降
署名の検証に成功すると、次のメッセージが表示されます。
Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

DEBファイルの署名の確認

まず、dpkg-sigユーティリティをインストールします。

署名を確認する予定のエージェントに dpkg-sig がインストールされていない場合は、インストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。

次に、署名キーをインポートします。

1.エージェントのZIPファイルのルートフォルダにある 3trend_public.asc ファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。
2.(オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-2.56ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7 (Agentバージョンが20.0.0-2593以前の場合)
bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae (Agentのバージョンが20.0.0-2971以降の場合)
3.あなたが署名をチェックするつもりエージェントで、GPGキーリングにASCファイルをインポートします。次のコマンドを使用します。
gpg --import 3trend_public.asc
次のメッセージが表示されます。

gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
4.(オプション)Trend Micro Key情報を表示します。次のコマンドを使用します。
gpg --list-keys
次のようなメッセージが表示されます。
/home/user01/.gnupg/pubring.gpg
-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]
uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>
sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]

最後に、DEBファイルの署名を確認します。

以下で説明するように、手動でDEBファイルの署名を検証する代わりに、配置スクリプトで署名を検証することもできます。詳細については、「インストールスクリプトを使用したコンピュータの追加と保護」を参照してください。

次のコマンドを入力します。
dpkg-sig --verify <agent_deb_file>
<agent_deb_file> はエージェントのDEBファイルの名前とパスです。たとえば、次のとおりです。
dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb
処理メッセージが表示されます。
Processing Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb...
署名が正常に確認されると、次のメッセージが表示されます。
GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778