цифровые подписи.

Цифровые подписи основаны на технологии инфраструктуры открытых ключей Майкрософт, которая основана на Microsoft Authenticode в сочетании с инфраструктурой доверенных центров сертификации (ЦС). Authenticode, основанный на отраслевых стандартах, позволяет поставщикам или издателям программного обеспечения подписывать файл или коллекцию файлов (например, пакет драйверов) с помощью цифрового сертификата для подписи кода, выданного ЦС.

Windows использует действительную цифровую подпись для проверки следующего:

  • Файл или коллекция файлов подписаны.

  • Подписыватель является доверенным.

  • Центр сертификации, прошедший проверку подлинности подписывателя, является доверенным.

  • Коллекция файлов не была изменена после ее публикации.

Например, этот процесс подписывания для пакета драйвера включает в себя следующее:

  • Издатель получает цифровой сертификат X.509 из ЦС. Сертификат Authenticode также называется сертификатом подписи. Сертификат подписи — это набор данных, который идентифицирует издателя и выдается ЦС только после того, как ЦС проверит удостоверение издателя. ЦС может быть центром сертификации Майкрософт, сторонним коммерческим ЦС или ЦС предприятия.

    Сертификат подписи используется для подписывания файла каталога пакета драйвера или для внедрения подписи в файл драйвера. Сертификаты, которые идентифицируют доверенных издателей и доверенных ЦС, устанавливаются в хранилища сертификатов , обслуживаемые Windows.

  • Сертификат подписи включает закрытый ключ и открытый ключи, которые называются парой ключей. Закрытый ключ используется для подписывания файла каталога пакета драйверов или для внедрения подписи в файл драйвера. Открытый ключ используется для проверки подписи файла каталога пакета драйверов или подписи, внедренной в файл драйвера.

  • Чтобы подписать файл каталога или внедрить подпись в файл, процесс подписывания сначала создает криптографический хэш или отпечаток файла. Затем процесс подписывания шифрует отпечаток файла с помощью закрытого ключа и добавляет отпечаток в файл.

    В процессе подписывания также добавляются сведения об издателе и ЦС, выдавшего сертификат подписи. Цифровая подпись добавляется в файл в разделе файла, который не обрабатывается при создании отпечатка файла.

  • Чтобы проверить цифровую подпись файла, Windows извлекает сведения об издателе и ЦС и использует открытый ключ для расшифровки зашифрованного отпечатка файла.

    Windows принимает целостность файла и подлинность издателя, только если выполняются следующие условия:

Дополнительные сведения о том, как установка устройства Plug and Play (PnP) использует цифровую подпись файла каталогапакета драйверов, см. в разделе Цифровые подписи и установка устройства PnP.

Дополнительные сведения о технологии инфраструктуры открытых ключей Майкрософт, подписывание кода и цифровых подписях см. в статье Общие сведения о подписывание кода и рекомендации по подписи кода.