Leggendo il documento dello sviluppatore su Code Signing , dice nella sezione Digital Signatures and Signed Code
:
To create a digital signature, the signing software computes a special type of checksum called a hash (or digest) based on a piece of data or code and encrypts that hash with the signer’s private key. This encrypted hash is called a signature.
To verify that signature, the verifying software computes a hash of the data or code. It then uses the signer’s public key to decrypt the signature, thus obtaining the original hash as computed by the signer. If the two hashes match, the data has not been modified since it was signed by someone in possession of the signer’s private key.
Signed code contains several digital signatures:
- If the code is universal, the object code for each slice (architecture) is signed separately. This signature is stored within the binary file itself.
- Various components of the application bundle (such as the Info.plist file, if there is one) are also signed. These signatures are stored in a file called _CodeSignature/CodeResources within the bundle.
Dopo qualche giocherellando, conosco il seguente:
- All'interno del file binario, ho ottenuto
CodeDirectory
(0xfade0c02
) contenente tutti gli hash SHA-1 o checksum del pacchetto, ad es.Info.plist
ecc. - All'interno del pacchetto, ho ottenuto la directory
_CodeSignature
con il fileCodeResources
, che - come menzionato nel precedente paragrafo citato - dovrebbe contenere tutte le firme. Tuttavia,CodeResources
contiene solo hash SHA-1 codificati base64 di diversi file. - All'interno del binario, ho alcuni certificati, che posso estrarre usando
codesign -d --extract-certificates <binary>
- generandocodesign0
,codesign1
ecc. Questi certificati sono in realtàCMS Signatures
(0xfade0b01
) che contengono le firme dei certificati . RicercaCMS
Ottiene Sintassi dei messaggi crittografici , che viene utilizzata per firmare i dati.
Ora il paragrafo mi dice che alcuni hash devono essere memorizzati come firma (hash crittografato) nel binario o nel file CodeResources
.
Sospetto che codesign
utilizzi uno dei certificati / CMS Signatures
per estrarre la chiave pubblica, quindi decrittografi una firma (hash crittografato) e confronta l'output con l'hash originale di un determinato file, ad es. Info.plist
.
Quindi la mia domanda è: dove si trova questa firma (hash crittografato)? È la firma all'interno di un certificato / CMS Signature
? O è altrove?