Tengo un certificado de firma de código, por lo que puedo agregar firmas digitales en archivos que contienen código ejecutable.
Microsoft parece utilizar una forma "nueva" y proporciona la mayoría de las firmas digitales no en el archivo en sí, sino en un catálogo de firmas ( C:\Windows\System32\catroot
). AFAIK, la búsqueda en esa lista se basa en un valor de hash. Por lo tanto, cambiar el archivo de cualquier manera, incluso agregar otra firma válida, resultará en la eliminación de la firma de Microsoft.
Estoy de acuerdo en que cambiar un archivo de Microsoft debería resultar en una firma no válida, pero no puedo ver el beneficio de eliminar una firma de Microsoft cuando otra persona firma nuevamente el archivo. Aunque estoy de acuerdo en que esto rara vez sucederá.
Veo la siguiente desventaja: dado que copia un ejecutable válido de Microsoft a otra PC que no tiene el catálogo (por ejemplo, un catálogo más reciente o un catálogo más antiguo), se mostrará como sin firmar, dejándolo en manos de quien copió el archivo ejecutable para probar que no se trata de malware.
¿Cuándo comenzó Microsoft a utilizar los catálogos especialmente: por qué?