Possiedo un certificato di firma del codice, quindi posso aggiungere firme digitali su file contenenti codice eseguibile.
Microsoft sembra utilizzare un modo "nuovo" e fornisce la maggior parte delle firme digitali non nel file stesso ma in un catalogo di firme ( C:\Windows\System32\catroot
). AFAIK, la ricerca in quell'elenco è basata su un valore hash. Pertanto, la modifica del file in qualsiasi modo, anche aggiungendo un'altra firma valida, comporterà la rimozione della firma Microsoft.
Sono d'accordo sul fatto che la modifica di un file Microsoft dovrebbe portare a una firma non valida, ma non vedo il vantaggio di rimuovere una firma Microsoft quando il file viene nuovamente firmato da qualcun altro. Anche se sono d'accordo che questo accadrà raramente.
Vedo il seguente svantaggio: dato che copi un eseguibile Microsoft valido su un altro PC che non ha il catalogo (ad esempio un catalogo più recente o un vecchio catalogo), verrà visualizzato come non firmato, lasciandolo a chi copiato l'eseguibile per dimostrare che non si tratta di malware.
Quando Microsoft ha iniziato a utilizzare i cataloghi in particolare: perché?