¿Por qué Microsoft usa un catálogo de firmas digitales en lugar de una firma en el ejecutable?

7

Tengo un certificado de firma de código, por lo que puedo agregar firmas digitales en archivos que contienen código ejecutable.

Microsoft parece utilizar una forma "nueva" y proporciona la mayoría de las firmas digitales no en el archivo en sí, sino en un catálogo de firmas ( C:\Windows\System32\catroot ). AFAIK, la búsqueda en esa lista se basa en un valor de hash. Por lo tanto, cambiar el archivo de cualquier manera, incluso agregar otra firma válida, resultará en la eliminación de la firma de Microsoft.

Estoy de acuerdo en que cambiar un archivo de Microsoft debería resultar en una firma no válida, pero no puedo ver el beneficio de eliminar una firma de Microsoft cuando otra persona firma nuevamente el archivo. Aunque estoy de acuerdo en que esto rara vez sucederá.

Veo la siguiente desventaja: dado que copia un ejecutable válido de Microsoft a otra PC que no tiene el catálogo (por ejemplo, un catálogo más reciente o un catálogo más antiguo), se mostrará como sin firmar, dejándolo en manos de quien copió el archivo ejecutable para probar que no se trata de malware.

¿Cuándo comenzó Microsoft a utilizar los catálogos especialmente: por qué?

    
pregunta Thomas Weller 11.08.2016 - 21:43
fuente

1 respuesta

2

Los archivos de catálogo han existido desde Windows 2000 / XP. Son una alternativa a la firma de binarios individuales, ya que adjunta una firma al archivo de catálogo en lugar de una firma a cada binario. Puede utilizar cualquiera de los dos para el mismo efecto, pero los archivos de catálogo son más eficientes para una gran colección de archivos.

Microsoft normalmente no incluye hashes de binarios de terceros en sus archivos de catálogo, a menos que los incluyan como parte del sistema operativo o una aplicación de Microsoft y estén dispuestos a firmar esos archivos. La excepción a esto son los controladores en modo kernel para Windows 10 como se explica en esta publicación . Es poco probable que un tercero modifique un archivo firmado por Microsoft sin haberlo firmado nuevamente.

    
respondido por el Mark Burnett 12.08.2016 - 02:47
fuente

Lea otras preguntas en las etiquetas