¿Cómo funciona realmente la contra-firma en Authenticode?

Question

¿Cómo funciona realmente la contra-firma en Authenticode?

#1 de Sergey Perfilev (0 votos)

2

Estoy tratando de entender el procesamiento de la marca de tiempo en el mecanismo de verificación de autenticodo y parece bastante simple, pero realmente no entiendo cómo la firma puede ser válida mientras que ambos certificados (código y marca de tiempo) no están en el período de validez.

Formato de firma ejecutable portátil de Windows Authenticode contiene una descripción detallada del procesamiento de Authenticode, pero no hay un caso, cuando la firma es válida después de que el certificado de firma de la marca de tiempo haya caducado.

De acuerdo con RFC3161, tan pronto como el certificado, utilizado para firmar una marca de tiempo, caduque, la marca de tiempo caducará también, por lo que dicha marca de tiempo debe volver a hacerse o certificarse ante notario público para renovar la confianza existente en esta marca de tiempo (significa certificado debe ser renovado?).

Por cierto, ¿qué pasa con el software escrito hace diez años? ¿Existe un mecanismo para tener firma infinita?

digital-signature windows pkcs7

pregunta Sergey Perfilev 13.03.2017 - 13:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature windows pkcs7

Cumplimiento / regulaciones FCA SNI y el nombre de host proporcionado a través de HTTP son un error diferente

score 0 · Answer 1

Finalmente, he encontrado la respuesta, la que se encuentra en RFC3161:

 To verify a digital signature, the following basic technique may be used:

A) Time-stamping information needs to be obtained soon after the
  signature has been produced (e.g., within a few minutes or hours).

  1)    The signature is presented to the Time Stamping Authority
        (TSA).  The TSA then returns a TimeStampToken (TST) upon
        that signature.

  2)    The invoker of the service MUST then verify that the
        TimeStampToken is correct.

B) The validity of the digital signature may then be verified in the
  following way:

  1)    The time-stamp token itself MUST be verified and it MUST be
        verified that it applies to the signature of the signer.

  2)    The date/time indicated by the TSA in the TimeStampToken
        MUST be retrieved.

  3)    The certificate used by the signer MUST be identified and
        retrieved.

  4)    The date/time indicated by the TSA MUST be within the
        validity period of the signer's certificate.

  5)    The revocation information about that certificate, at the
        date/time of the Time-Stamping operation, MUST be retrieved.

  6)    Should the certificate be revoked, then the date/time of
        revocation shall be later than the date/time indicated by
        the TSA.

If all these conditions are successful, then the digital signature shall be declared as valid.