ソフトウェアパッケージのデジタル署名の確認

ソフトウェアZIPパッケージの署名の確認

管理者との間でZIPをインポートまたはエクスポートすることにより

ZIPのプロパティファイルを表示することで

1. Deep Security Managerにログインします。
2. 上部の[管理]をクリックします。
3. 左側で[更新]→[ソフトウェア]→[ローカル]を展開します。
4. デジタル署名を確認したいZIPパッケージを見つけてダブルクリックします。そこにない場合は、インポートします。

jarsignerを使用する

1. お使いのコンピュータに最新のJava Development Kitをインストールしてください。
2. ZIPをダウンロードします。
3. JDK内のjarsignerユーティリティを使用して、署名を確認します。コマンドは次のとおりです。
   jarsigner -verify -verbose -certs -strict <ZIP_file>
   例:
   jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
4. エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。

インストーラファイル (EXE、MSI、RPM、またはDEBファイル) の署名の確認

注意 以下の手順では、インストーラファイルでデジタル署名を手動で確認する方法について説明します。この確認を自動化したい場合は、これをAgentインストールスクリプトに含めることができます。インストールスクリプトの詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

• EXEまたはMSIファイルの署名の確認
• RPMファイルの署名を確認する
• DEBファイルの署名を確認する

EXEまたはMSIファイルの署名の確認

1. EXEまたはMSIファイルを右クリックし、[のプロパティ]を選択します。
2. [デジタル署名]タブをクリックして署名を確認します。

RPMファイルの署名の確認

まず、GnuPGをインストールします。

次に、署名キーをインポートします。

1. エージェントのZIPファイルのルートフォルダにある3trend_public.ascファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。
2. 必要に応じて、任意のハッシュユーティリティを使用して[ASC]ファイルのSHA-256ハッシュダイジェストを検証してください。ハッシュは次の通りです:
   c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7 - エージェントバージョン20.0.0-2593以前の場合
   bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae - エージェントバージョン20.0.0-2971以降用
   7a7509c5458c762f6a341820a93e09f0f1b9dd3258608753e18d26575e9c730f - エージェントバージョン20.0.1-3180以降
3. シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。

   注意 コマンドでは大文字と小文字が区別されます。

   gpg --import 3trend_public.asc
   次のメッセージが表示されます。
   gpg: directory `/home/build/.gnupg' created
   gpg: new configuration file `/home/build/.gnupg/gpg.conf' created
   gpg: WARNING: options in `/home/build/.gnupg/gpg.conf' are not yet active during this run
   gpg: keyring `/home/build/.gnupg/secring.gpg' created
   gpg: keyring `/home/build/.gnupg/pubring.gpg' created
   gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
   gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
   gpg: Total number processed: 1
   gpg: imported: 1 (RSA: 1)
4. GPGパブリック署名キーをASCファイルからエクスポートします。
   gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign
5. GPGパブリック署名鍵をRPMデータベースにインポートします。
   sudo rpm --import RPM-GPG-KEY-CodeSign
6. GPGパブリック署名キーがインポートされたことを確認します。
   rpm -qa gpg-pubkey*
7. インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロの鍵は:
   gpg-pubkey-e1051cbd-5b59ac99 - エージェントバージョン20.0.0-2593以前用
   gpg-pubkey-e1051cbd-6030cc3a - エージェントバージョン20.0.0-2971以降用
   gpg-pubkey-e1051cbd-659d0a3e - エージェントバージョン20.0.1-3180以降用

最後に、RPMファイルの署名を確認します。

• Deep Security Agent11.0アップデート15以降のアップデート
  または
• Deep Security Agent 12 update 2以降
  または
• Deep Security Agent 20以降

DEBファイルの署名の確認

まず、dpkg-sigユーティリティをインストールします

次に、署名キーをインポートします。

1. エージェントのZIPファイルのルートフォルダにある3trend_public.ascファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。
2. 必要に応じて、任意のハッシュユーティリティを使用して[ASC]ファイルのSHA-256ハッシュダイジェストを検証してください。ハッシュは次の通りです:
   c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7 - エージェントバージョン20.0.0-2593以前の場合
   bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae - エージェントバージョン20.0.0-2971以降用
   7a7509c5458c762f6a341820a93e09f0f1b9dd3258608753e18d26575e9c730f - エージェントバージョン20.0.1-3180以降
3. 署名を確認するエージェントコンピュータで、ASCファイルをGPGキーリングにインポートします。次のコマンドを使用します。
   gpg --import 3trend_public.asc
   次のメッセージが表示されます。
   gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
   gpg: Total number processed: 1
   gpg: imported: 1 (RSA: 1)
4. オプションで、トレンドマイクロのキー情報を表示します。次のコマンドを使用します。
   gpg --list-keys
   次のようなメッセージが表示されます。
   /home/user01/.gnupg/pubring.gpg
   -------------------------------
   pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]
   uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>
   sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]

最後に、DEBファイルの署名を確認します。