0
我现在还不明白双方的配合是如何工作的。代码签名工作中的签名如何?
我正在考虑是否有可能操作一个文件,并与原单键包括伪造口令辞职呢?
我使用例如为:
signtool.exe sign /f "mycert.pfx" /t "http://timestamp.verisign.com/scripts/timstamp.dll" /v "MyApp.exe"
所以我会得到一个contersign一个签名的应用程序。但这是如何工作的? “时间戳”服务器是否简单地标记当前时间戳?如果我理解的话,这将允许重播攻击。以便我可以在过去签署文件。
是如何contersign保护?
这意味着,时间服务器预计我signture?接下来的一步是,时代人将我的签名和时间戳一起签名? – rekire 2012-02-03 12:02:16
时间戳服务器接收到一些东西(在我们的例子中是签名的散列),并将它与时间戳一起签名。 – 2012-02-03 12:34:23
谢谢你的澄清。 – rekire 2012-02-03 12:55:53