Средства шифрования
Средства шифрования предоставляют средства командной строки для подписывания кода, проверки подписи подписи и других задач шифрования.
Общие сведения о подписи кода
Отрасль программного обеспечения должна предоставлять пользователям средства доверия к коду, включая код, опубликованный в Интернете. Многие веб-страницы содержат только статические сведения, которые можно скачать с небольшим риском. Однако некоторые страницы содержат элементы управления и приложения для скачивания и запуска на компьютере пользователя. Эти исполняемые файлы могут быть рискованными для скачивания и запуска.
Упаковаемое программное обеспечение использует фирменную символику и доверенные торговые точки для обеспечения целостности, но эти гарантии недоступны при передаче кода в Интернете. Кроме того, сам Интернет не может гарантировать личность создателя программного обеспечения. Кроме того, он не может гарантировать, что любое скачаемое программное обеспечение не было изменено после его создания. Браузеры могут содержать предупреждающее сообщение, которое объясняет возможные опасности скачивания данных любого вида, но браузеры не могут проверить, что код является тем, что он утверждает. Необходимо использовать более активный подход, чтобы сделать Интернет надежным средством распространения программного обеспечения.
Одним из подходов к обеспечению подлинности и целостностифайлов является присоединение цифровых подписей к этим файлам. Цифровая подпись, присоединенная к файлу, положительно определяет распространитель этого файла и гарантирует, что содержимое файла не было изменено после создания подписи.
Цифровые подписи можно создавать и проверять с помощью API шифрования Майкрософт. Дополнительные сведения о шифровании и функцияхCryptoAPI см. в Cryptography Essentials.
Подробные сведения о цифровых подписях, сертификатахи хранилищах сертификатов см. в следующих разделах:
- хэши и цифровые подписи
- цифровые сертификаты
- управление сертификатами с помощью хранилищ сертификатов
- проверка доверия сертификатов
В настоящее время средства CryptoAPI поддерживают технологию Microsoft Authenticode, позволяя поставщикам программного обеспечения подписывать следующие типы файлов для проверки Authenticode.
| Расширение имени файла | Содержание |
|---|---|
| .appx, .msix, .appxbundle, .msixbundle |
Упакованные приложения Windows. |
| .cab |
Автономные файлы, используемые для установки и установки приложений. В файле кабинета несколько файлов сжимаются в один файл. Они обычно находятся на дисках распространения программного обеспечения Майкрософт. |
| .кошка |
Файлы, содержащие цифровые отпечатки нескольких файлов. Файл CAT можно использовать для обеспечения целостности файлов, отпечаток которых он включает. |
| .dll |
Файлы, содержащие исполняемые функции. |
| .exe |
Файлы, содержащие исполняемые программы. |
| .js VBS WSF |
Файлы оболочки Windows для JScript или Microsoft Visual Basic Scripting Edition (VBScript). |
| .msi .msp MST |
Файлы установщика Windows. |
| .ocx |
Файлы, содержащие элементы управления Microsoft ActiveX. |
| .ps1 |
Файлы, содержащие скрипты PowerShell. |
| .stl |
Файлы, содержащие список доверия сертификатов (CTL). |
| .sys |
Файлы, содержащие двоичные файлы драйверов. |
Сведения о цифровой подписи см. в следующих документах:
- CCITT, рекомендация X.509, Платформа Directory-Authentication, Консультативный комитет, Международный телефон и телеграф, Международный телекоммуникационный союз, Женева, 1989.
- Лаборатории RSA, PKCS #7: синтаксис криптографических сообщений стандартный. Версия 1.5, ноябрь 1993 г.
- Шнейер, Брюс, примененные криптографии, 2d ed. Нью-йорк: Джон Уили & Сыновья, 1996.
- https://www.rsa.com
Заметка
Эти ресурсы могут быть недоступны на некоторых языках и странах или регионах.
Средства шифрования Майкрософт
Средства публикации и dll подписывания устанавливаются в каталог \Bin установки пакета SDK Для Майкрософт. Они включают следующие файлы.
| Имя файла | Замечания |
|---|---|
| Cert2SPC.exe | Создает сертификат издателя программного обеспечения (SPC) только для тестирования. |
| CertMgr.exe | Управляет сертификатами, списками отзыва сертификатов и списки отзыва сертификатов (CRLS). |
| MakeCat.exe | Создает файл без знака каталога, содержащий хэши набора файлов вместе с связанными атрибутами каждого файла. |
| MakeCert.exe | Создает сертификат X.509 только для тестирования. |
| Pvk2pfx.exe | Преобразует файл сертификата издателя программного обеспечения (SPC) или файл закрытого ключа (PVK) в формат файла PFX. |
| SetReg.exe | Задает разделы реестра, управляющие проверкой сертификата. |
| SignTool.exe | Подписи и метки времени файла. Кроме того, проверяет подпись файла. |