Модели доверия доверенных подписей
В этой статье описывается концепция моделей доверия, основных моделей доверия, которые предоставляет доверенный подписывание, и их использование в различных сценариях подписывания, поддерживаемых доверенным подписыванием.
Модели доверия
Модель доверия определяет правила и механизмы проверки цифровых подписей и обеспечения безопасности связи в цифровой среде. Модели доверия определяют, как устанавливается и поддерживается доверие в сущностях в цифровой экосистеме.
Для потребителей подписи, таких как подпись общедоступного доверенного кода для приложений Microsoft Windows, модели доверия зависят от подписей, имеющих сертификаты из центра сертификации (ЦС), который входит в программу корневого сертификата Майкрософт. По этой причине модели доверия доверенных подписей предназначены в основном для поддержки подписи Windows Authenticode и функций безопасности, использующих подписывание кода в Windows (например, Smart App Control и Windows Defender Application Control).
Доверенный подписывание предоставляет две основные модели доверия для поддержки широкого спектра потребления подписей (проверки):
Примечание.
Вы не ограничиваетесь применением моделей доверия, которые используются в сценариях подписывания, описанных в этой статье. Доверенный подписывался для поддержки подписывания кода Windows и Authenticode и управления приложениями для функций Windows. Она широко поддерживает другие модели подписывания и доверия за пределами Windows.
Модель общедоступного доверия
Public Trust является одной из двух моделей доверия, предоставляемых в доверенной подписи, и является наиболее часто используемой моделью. Сертификаты в модели общедоступного доверия выдаются из корневого центра сертификации проверки идентификации Майкрософт 2020 года и соответствуют инструкции по сертификации сторонних поставщиков служб PKI (CPS). Этот корневой ЦС входит в программу корневого сертификата проверяющей стороны, например программу корневых сертификатов Майкрософт, для подписывания кода и метки времени.
Ресурсы общедоступного доверия в доверенной подписи предназначены для поддержки следующих сценариев подписывания и функций безопасности:
- Подпись кода приложения Win32
- Управление смарт-приложениями в Windows 11
- /INTEGRITYCHECK принудительное подписание целостности для переносимых двоичных файлов исполняемых файлов (PE)
- Анклавы безопасности на основе виртуализации (VBS)
Мы рекомендуем использовать public Trust для подписывания любого артефакта, к которому вы хотите предоставить общий доступ. Подписыватель должен быть проверенной юридической организацией или отдельным лицом.
Примечание.
Доверенный подписывание включает параметры для профилей сертификатов test в коллекции Public Trust, но сертификаты не являются общедоступными доверенными. Профили сертификатов public Trust Test предназначены для использования для подписи разработки и тестирования внутреннего цикла и не должны быть доверенными.
Модель частного доверия
Частное доверие — это вторая модель доверия, предоставляемая в доверенном подписи. Это для доверия, когда подписи не являются широко доверенными в экосистеме. Иерархия ЦС, используемая для ресурсов доверенного доверия для подписывания частного доверия, не является доверенным по умолчанию в любой корневой программе и в Windows. Скорее, он предназначен для использования в элементе управления приложениями для бизнеса (прежнее название — управление приложениями в Защитнике Windows, WDAC), в том числе:
- Использование подписи кода для добавленного элемента управления и защиты с помощью WDAC
- Использование подписанных политик для защиты управления приложениями Защитника Windows от незаконного изменения
- Необязательно. Создание сертификата подписи кода для элемента управления приложениями в Защитнике Windows
Дополнительные сведения о настройке и подписи политик WDAC с помощью ссылки на доверенный подписывание см. в кратком руководстве по подписи доверенных подписей.