Her şey yolunda olduğu bildirilmesine rağmen, Windows 10 x64 imzalanmış aygıt sürücülerini yükleyemiyor

Şu anda Windows 10 aygıt sürücüsü imzalama ile uğraşıyorum, şirketim bir SHA1 sertifikası kullanarak imzalamaya çalıştığım Windows 10 x86 ve x64 için bazı sürücüler geliştirdi. SHA1'in en iyi seçenek olmadığını biliyorum, ancak Microsoft'un teknik belgelerini anladığım kadarıyla hala çalışmalıyım.

Asıl sorun şudur, sürücüler doğru kurulur ve signtool'un doğrulama seçeneğini kullanarak kontrol etsem bile, sorun yok gibi görünüyor. Windows 10 ayrıca, INF dosyasını yüklerken iyi yükleme yaptıklarını söylüyor. CAT-dosyaları, DLL'ler, SYS dosyaları vb. Dahil olmak üzere tüm imzalanabilir dosyaları sürücü paketinde imzaladım.

Sürücülerin gerçekte çalışmadığı nokta Windows 10 aygıt yöneticisinde, orada şu açıklama ile birlikte bir ünlem işareti simgesi alıyorum:

"Kod 52 - Windows dijital imzayı doğrulayamıyor ..."

Kullandığım iş akışı elbette diğer gerçek verilerle tamamen aynı, ama gerisi aynı.

"C:\Program Files (x86)\Windows Kits\10\bin\x86\stampinf.exe" -f "P:\MyDriver\mydriver.inf" -d 08/11/2017 -v 1.0.0.1

"C:\Program Files (x86)\Windows Kits\10\bin\x86\Inf2Cat.exe" /driver:"P:\MyDriver" /os:10_X86,10_X64,7_X86,7_X64,8_X86,8_X64,XP_X86,XP_X64

"C:\Program Files (x86)\Windows Kits\10\bin\x86\signtool.exe" sign /f 
"C:\Users\me\Documents\MyCert\MyCert.pfx" /p myVerySecretPassw0rd /d "My Drivers" /du "http://www.myveryverycompaniesurl.com" /t "http://timestamp.verisign.com/scripts/timestamp.dll" /v /ph "P:\MyDrivers\*.*"

Bu şekilde oluşturulan "signtool doğrulama" raporları şudur:

Verifying: P:\MyDrivers\OneOfMyDLLs.dll

Signature Index: 0 (Primary Signature)
Hash of file (sha1): *************************************************

Signing Certificate Chain:
Issued to: COMODO RSA Certification Authority

Issued by: COMODO RSA Certification Authority

Expires:   Tue Jan 19 01:59:59 2038

SHA1 hash: *************************************************


    Issued to: COMODO RSA Code Signing CA

    Issued by: COMODO RSA Certification Authority

    Expires:   Tue May 09 01:59:59 2028

    SHA1 hash: *************************************************


        Issued to: My Company

        Issued by: COMODO RSA Code Signing CA

        Expires:   Tue Sep 18 01:59:59 2018

        SHA1 hash: *************************************************

Bu yüzden, benim için her şey yolunda görünüyor, söz konusu imzalardan biriyle ya da genellikle dosyaların imzalanmasıyla ilgili bazı sorunları olan cihaz yöneticisine gelene kadar, ama aslında ne olup bittiğiyle ilgili bir ipucu vermiyor yanlış. Düzenle: Microsoft, SHA-1'in yetersiz olduğunu düşünüyorsa, neden bu gerçeği belirten bir hata mesajı yok?

— Erik
kaynak

Sorun SHA1 sertifikasıdır. Windows artık imzalı sürücüler ve imzalı uygulamalar gibi dijital imzalar için SHA1 sertifikalarına güvenmiyor. Bu iyi belgelenmiş bir gerçektir

— Ramhound

Cevabınız için teşekkür ederim, belgelenmiş gerçek için (dediğiniz gibi) bir kaynağa bağlayabilir misiniz? Bunun hakkında okumak istiyorum. Geriye kalan bir başka soru, Windows'un neden sürücüleri yüklediği, ancak daha sonra kurulum ve doğrulama sırasında aygıt yöneticisinde başarısız olması, kafa karıştırıcı olan her şeyin yolunda olduğunu söylüyor

— Erik

Duyuruyu okuduğumda, Windows'un SHA1 sertifikalarına güvenmeyi bırakacağını, sadece duyurunun olacağını söyledi ve ne olduğunu açıkladığına dayanarak söyleyemedim. Devam edeceğim ve bulabildiğim kadarını temizleyeceğim.

— Ramhound

SHA1'in en iyi seçenek olmadığını biliyorum ama yine de benim kadar çalışmalıyım Microsoft'tan teknik belgeleri anlayın.

Sorun şu ki, Windows 10'un geçerli yapısı SHA1 kod imzalama sertifikalarına güvenmiyor. İsterseniz, sertifikanız için tüm sertifika zincirini ekleyerek bu davranışı geçersiz kılabilirsiniz.

Önemli değişiklik duyurularına dayanarak - SHA-1'in kullanımdan kaldırılması doğrudan Comodo'dan, Windows Ocak 2016'da SHA1 kod imzalama sertifikalarına güvenmeyi bıraktı.

1 Ocak 2016 - Microsoft Internet Explorer dahil olmak üzere ürünler Chrome, SHA-1 kod imzalama sertifikalarına güvenmeyi bırakacak

Microsoft, Mayıs 2017 itibariyle

Bugün, tüketicileri risk konusunda uyarmak için daha fazlasını yapmak istiyoruz. SHA-1 sertifikası kullanılarak imzalanmış bir yazılımı indirme. bizim Amaç, tüm uygulamalarda ortak, işletim sistemi düzeyinde bir deneyim geliştirmektir. Kullanıcıları SHA-1 gibi zayıf şifreleme konusunda uyarmak için kullanabilirsiniz. Uzun vadeli, Microsoft, Windows’un tümünde SHA-1’e güvenmemeyi planlıyor bağlamlarda. Microsoft, ABD’deki en son araştırmaları yakından takip etmektedir. SHA-1 saldırılarının fizibilitesi ve tam olarak belirlemek için bunu kullanacak amortisman zaman çizelgeleri.

Windows SHA1 Sertifikalarının Uygulanması

Biri cevaplar için Windows'ta SHA1 kod imzalama sertifikalarının kullanımdan kaldırılması aşağıdaki tabloda verilmiştir. Cevap Söz konusu SHA1 sertifikalarının kullanımında bazı güvenli azaltımlar bulunmaktadır.

— Ramhound
kaynak

Microsoft'un SHA1 planlarının değiştiğini gösteren bu soruya cevaplar varken, 1 Ocak 2016 tarihi ile ilgili bilgiler değişmedi. Eylül 2018'de sona erecek bir sertifikanız varsa, 1 Ocak 2016'dan sonra imzalanmış demektir. Comodo sonunda SHA1 sertifikalarını artık desteklemiyor bile.

— Ramhound

Şimdi bir SHA-256 sertifikasına dönüştüm ve ayrıca bir SHA 256 parmak izi ve zaman damgası oluşturdum. Ancak, yeni imzalanan sürücülerle aygıt yöneticisindeki Hata Kodu 52 hala aynıdır, bu yüzden artık SHA-1 sorunu değil. Hala bir fikrin var mı?

— Erik

Aklıma gelen bir başka şey: aslında bir kod imzalama sertifikası olan sertifikamın yeterli olmaması olabilir mi? Kod imzalama ve sürücü imzalama arasındaki fark nedir, bu farklı sertifika türleri midir?

— Erik

@Erik Evet, farklılar ancak yalnızca satın alma işleminde doğrulama sürecinde

— Ramhound