Perché Microsoft utilizza un catalogo di firma digitale invece di una firma nell'eseguibile?

7

Possiedo un certificato di firma del codice, quindi posso aggiungere firme digitali su file contenenti codice eseguibile.

Microsoft sembra utilizzare un modo "nuovo" e fornisce la maggior parte delle firme digitali non nel file stesso ma in un catalogo di firme ( C:\Windows\System32\catroot ). AFAIK, la ricerca in quell'elenco è basata su un valore hash. Pertanto, la modifica del file in qualsiasi modo, anche aggiungendo un'altra firma valida, comporterà la rimozione della firma Microsoft.

Sono d'accordo sul fatto che la modifica di un file Microsoft dovrebbe portare a una firma non valida, ma non vedo il vantaggio di rimuovere una firma Microsoft quando il file viene nuovamente firmato da qualcun altro. Anche se sono d'accordo che questo accadrà raramente.

Vedo il seguente svantaggio: dato che copi un eseguibile Microsoft valido su un altro PC che non ha il catalogo (ad esempio un catalogo più recente o un vecchio catalogo), verrà visualizzato come non firmato, lasciandolo a chi copiato l'eseguibile per dimostrare che non si tratta di malware.

Quando Microsoft ha iniziato a utilizzare i cataloghi in particolare: perché?

    
posta Thomas Weller 11.08.2016 - 21:43
fonte

1 risposta

2

I file di catalogo sono in realtà già in circolazione da Windows 2000 / XP. Sono un'alternativa alla firma di singoli file binari quando si collega una firma al file di catalogo anziché una firma a ogni singolo binario. È possibile utilizzare uno solo per lo stesso effetto, ma i file di catalogo sono più efficienti per un'ampia raccolta di file.

Microsoft in genere non include gli hash dei binari di terze parti nei loro file di catalogo, a meno che non li includano come parte del sistema operativo o di un'applicazione Microsoft e siano disposti a firmare tali file. L'eccezione è rappresentata dai driver in modalità kernel per Windows 10, come spiegato in questo post . È improbabile che una terza parte possa modificare un file firmato da Microsoft senza averlo nuovamente firmato.

    
risposta data 12.08.2016 - 02:47
fonte

Leggi altre domande sui tag