Microsoft y SHA-1 en desuso en Windows 7

Navega tus respuestas
2

Estados de Microsoft:

  

Con vigencia a partir del 1 de enero de 2016, Windows (versión 7 y superior) y Windows   El servidor ya no confiará en ningún código firmado con un código SHA-1   certificado de firma y que contiene un valor de marca de tiempo mayor que   1 de enero de 2016

¿Significa esto:

  1. ¿los ejecutables (controladores, etc.) firmados con un certificado cuyo "algoritmo hash de firma" es sha1 no serán de confianza?
    2. ¿
  2. que los ejecutables (controladores, etc.) firmados con sha1 como la firma del "algoritmo de resumen" no serán confiables (incluso si el "algoritmo de hash de la firma" del certificado utilizado es sha256)?
  3. ¿Ambos?
  4. ¿Algo completamente diferente?

Nota: usé la terminología como está en Windows.

La segunda pregunta es sobre esta parte en el enlace provisto arriba:

  

Hashes de archivos de firma de código: Microsoft no requiere estos archivos   Hashes para hacer usando SHA-2. Windows tampoco hará cumplir las políticas   en estos hashes. Si los ataques de pre-imagen en SHA-1 se vuelven factibles, lo haremos   reevaluar cómo el sistema confía en las firmas hechas con dicho archivo   hashes.

¿Qué es exactamente el "Hash de archivos de firma de código"?

Gracias.

    
pregunta bayotop 04.01.2016 - 15:14
fuente

1 respuesta

2

Significa que:

  • Entre el 01/01/2016 y el 01/01/2017 para el certificado de firma de código que utiliza el algoritmo SHA-1, se aceptará el ejecutable firmado con una marca de fecha y fecha anterior al 31/12/2015, el ejecutable firmará NO se aceptará a partir del 01/01/2016.
  • A partir del 01/01/2017, todos los certificados utilizados para la firma del código deberán usar SHA-2.

Esto solo se aplica al algoritmo hash utilizado por la CA para validar el certificado de firma de código cuando se emite (es parte de las propiedades del certificado, no de la propia firma del código).

El "hash del archivo de firma de código" es el proceso utilizado por la herramienta utilizada para firmar el ejecutable para realizar la firma digital: toma el archivo de código original (sin la firma, obviamente), pásalo a través de la función de hash (la estamos hablando de, y firmamos el valor hash resultante con el certificado de firma de código (generalmente, agregando una marca de tiempo segura).

No es necesario actualizar el "hash del archivo de firma de código". Esto significa que, por el momento, puede utilizar el mismo proceso de firma y herramientas y simplemente reemplazar su certificado de firma de código.

    
respondido por el Stephane 04.01.2016 - 15:28
fuente

Lea otras preguntas en las etiquetas

En Windows, ¿qué debo hacer para ejecutar un programa con derechos de administrador sin preocupaciones? Ataques parecidos a Deauth con cable