Effective January 1, 2016, Windows (version 7 and higher) and Windows Server will no longer trust any code that is signed with a SHA-1 code signing certificate and that contains a timestamp value greater than January 1, 2016
Significa:
- che gli eseguibili (driver, ecc.) firmati utilizzando un certificato il cui "Algoritmo di hash delle firme" è sha1 non saranno considerati attendibili?
- che gli eseguibili (driver ecc.) firmati usando sha1 come firma "Digest algorithm" non saranno considerati attendibili (anche se l'algoritmo hash Signature del certificato utilizzato è sha256)?
- Sia?
- Qualcosa di completamente diverso?
Nota: ho usato la terminologia come in Windows.
Le seconde domande riguardano questa parte nel link fornito sopra:
Code signature File Hashes: Microsoft does not require these file hashes to be done using SHA-2. Windows will also not enforce policies on these hashes. If pre-image attacks on SHA-1 become feasible we will reevaluate how the system trusts signatures made with such file hashes.
Che cosa significa esattamente "Code Hash File firma"?
Grazie.