Perché alcuni file eseguibili di Windows non hanno una scheda "Firme digitali"?

4

Perché alcuni file eseguibili su un sistema Windows 7 non hanno una scheda "Firme digitali"?

(Con questa domanda mi riferisco a quegli eseguibili che non fanno parte del sistema operativo Windows e ai quali il pacchetto di installazione crea un collegamento nel menu di avvio.)

È perché:

  1. Il file .exe è in realtà una specie di wrapper per es. File Java Jar o Flash SWF?
  2. Il produttore non ha mai certificato il file .exe?
  3. Qualche altra ragione?

Te lo chiedo perché ho pensato che se il motivo è # 2 (che il file binario non è mai stato certificato da una CA), avrei ricevuto qualche tipo di messaggio di avvertimento durante l'installazione del software.

Aggiornamento: qui sotto la schermata mostra due eseguibili sulla mia macchina. Per uno di essi ("iClone.exe") Windows non visualizza la scheda "Firme digitali". Per l'altro viene visualizzata la scheda.

    
posta x457812 22.12.2015 - 16:56
fonte

3 risposte

5

I file eseguibili non sono richiesti da Microsoft per essere firmati. Tuttavia, i driver sono.

Starting with 64-bit versions of Windows Vista and later versions of Windows, driver code signing policy requires that all driver code have a digital signature. In addition, certain configurations of 32-bit versions of Windows Vista and later versions of Windows also require driver code to be digitally-signed in order to access next generation premium content that is controlled by the content protection policy. Windows Vista and later versions of Windows rely on digital signatures of these components to increase the safety and stability of the Microsoft Windows platform and enable new customer experiences with next generation premium content.

Rif: link

    
risposta data 22.12.2015 - 22:56
fonte
3
  1. The manufacturer never digitally certified the .exe?

Sì. Costa denaro e significa uno sforzo extra nel flusso di lavoro di implementazione.

I am asking because I thought that if the reason is #2 (that the binary was never certified by a CA) then I would have gotten some kind of warning message when installing the software.

No. Mentre è possibile configurare cose simili con "AppLocker" (credo usando una regola di autorizzazione del publisher con condizione "Qualsiasi Publisher "), non esiste alcun meccanismo attivo per impostazione predefinita su qualsiasi sistema operativo Windows che conosco.

    
risposta data 22.12.2015 - 22:12
fonte
1

Se lo trovi per gli eseguibili Microsoft, il motivo è l'implementazione di Windows Explorer: Windows Explorer mostrerà solo le firme digitali se la firma è nell'eseguibile stesso (ad esempio firmato con signtool ). Non mostrerà la firma digitale archiviata nel catalogo delle firme digitali di Windows ( C:\Windows\System32\catroot\ ) (ad esempio, generata con makecat ).

Per verificare la firma di un exectuable, incluse le voci dal catalogo delle firme digitali, utilizzare SysInternals SigCheck . Ti dirà anche dove ha trovato la firma quando viene eseguita con l'interruttore della riga di comando -i , ad es.

C:\>sigcheck.exe -i c:\Windows\System32\cmd.exe

Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\system32\cmd.exe:
        Verified:       Signed
        Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package-AutoMerged-base~31bf3856ad364e35~amd64~~10.0.10586.0.cat
[...]
    
risposta data 11.08.2016 - 21:53
fonte

Leggi altre domande sui tag