我想了解下載歸檔時驗證信任背後的關鍵高級別詳細信息。驗證已簽名歸檔的X.509 CoT的方法
這是我如何可以做到理解:
在軟件開發方面:
獲取從公共CA證書VeriSign這樣
生成然後使用您的證書中的私鑰對該字符串進行加密,這是「簽名」
主機存檔下載,與包含證書+公共密鑰在步驟2
產生在(用戶)客戶端的簽名一個單獨的文件一起:
下載並解壓存檔,下載簽名+公鑰文件
使用下載的公鑰解密下載簽名,保存該值
遍歷操作系統中嵌入的公共根證書。對於每個根證書,解密簽名值並將結果與步驟5中的結果進行比較。
一旦在6中找到匹配項,就證實作者的私鑰從CA的信任鏈下降其中在第6步
- 發現匹配的這一切都假定軟件開發者使用,我們已經在我們的客戶操作系統的內置根證書的CA.
- 繫上述方法的聲音,還是我俯瞰關鍵細節?
- 既然你控制一個空白的石板客戶,如果我想的公共密鑰+簽名+歸檔到一個單一的文件,我可以讓客戶瞭解和分析結合起來,有沒有得到廣泛支持的格式,以利用組織這個數據?
問題:
感謝您的回覆,是不是特定於Microsoft操作系統Authenticode?客戶端是運行Linux的MIPS拱板。 – Hoofamon
那麼,這將是一個很好的理由不使用Authenticode :)。簽名數據格式可能仍然是贏家。 – bartonjs