Firme digitali
Le firme digitali si basano sulla tecnologia dell'infrastruttura a chiave pubblica Microsoft, basata su Microsoft Authenticode combinata con un'infrastruttura di autorità di certificazione attendibili.Digital signatures are based on Microsoft public key infrastructure technology, which is based on Microsoft Authenticode combined with an infrastructure of trusted certification authority (CAs). Authenticode, basato su standard di settore, consente ai fornitori o agli editori di software di firmare un file o una raccolta di file (ad esempio un pacchetto driver) usando un certificato digitale di firma del codice rilasciato da una CA.
Windows usa una firma digitale valida per verificare quanto segue:
Il file, o la raccolta di file, è firmato.
Il firmatario è attendibile.
L'autorità di certificazione che ha autenticato il firmatario è attendibile.
La raccolta di file non è stata modificata dopo la pubblicazione.
Ad esempio, questo processo di firma per un pacchetto driver prevede quanto segue:
Un editore ottiene un certificato digitale X.509 da una CA. Un certificato Authenticode viene definito anche certificato di firma. Un certificato di firma è un set di dati che identifica un server di pubblicazione e viene emesso da una CA solo dopo che la CA ha verificato l'identità del server di pubblicazione. Una CA può essere una CA Microsoft, una CA commerciale di terze parti o una CA enterprise.
Il certificato di firma viene usato per firmare il file di catalogo di un pacchetto driver o per incorporare una firma in un file driver. I certificati che identificano autori attendibili e ca attendibili vengono installati negli archivi certificati gestiti da Windows.
Il certificato di firma include una chiave privata e una chiave pubblica, nota come coppia di chiavi. La chiave privata viene usata per firmare il file di catalogo di un pacchetto driver o per incorporare una firma in un file driver. La chiave pubblica viene usata per verificare la firma del file di catalogo di un pacchetto driver o una firma incorporata in un file del driver.
Per firmare un file di catalogo o per incorporare una firma in un file, il processo di firma genera innanzitutto un hash crittografico o un'identificazione personale del file. Il processo di firma crittografa quindi l'identificazione personale del file con una chiave privata e aggiunge l'identificazione personale al file.
Il processo di firma aggiunge anche informazioni sul server di pubblicazione e sulla CA che ha emesso il certificato di firma. La firma digitale viene aggiunta al file in una sezione del file che non viene elaborata quando viene generata l'identificazione personale del file.
Per verificare la firma digitale di un file, Windows estrae le informazioni relative all'autore e alla CA e usa la chiave pubblica per decrittografare l'identificazione personale del file crittografato.
Windows accetta l'integrità del file e l'autenticità del server di pubblicazione solo se le condizioni seguenti sono vere:
- L'identificazione personale decrittografata corrisponde all'identificazione personale del file.
- Il certificato del server di pubblicazione viene installato nell'archivio certificati Autori attendibili.
- Il certificato radice della CA che ha emesso il certificato dell'editore viene installato nell'archivio certificati Autorità di certificazione radice attendibili.
Per altre informazioni su come l'installazione del dispositivo Plug and Play (PnP) usa la firma digitale del file di catalogodi un pacchetto driver, vedere Firme digitali e installazione del dispositivo PnP.
Per altre informazioni sulla tecnologia dell'infrastruttura a chiave pubblica Microsoft, sulla firma del codice e sulle firme digitali, vedere Introduzione alla firma del codice e procedure consigliate per la firma del codice.