我想了解下载归档时验证信任背后的关键高级别详细信息。验证已签名归档的X.509 CoT的方法
这是我如何可以做到理解:
在软件开发方面:
获取从公共CA证书VeriSign这样
生成然后使用您的证书中的私钥对该字符串进行加密,这是“签名”
主机存档下载,与包含证书+公共密钥在步骤2
产生在(用户)客户端的签名一个单独的文件一起:
下载并解压存档,下载签名+公钥文件
使用下载的公钥解密下载签名,保存该值
遍历操作系统中嵌入的公共根证书。对于每个根证书,解密签名值并将结果与步骤5中的结果进行比较。
一旦在6中找到匹配项,就证实作者的私钥从CA的信任链下降其中在第6步
- 发现匹配的这一切都假定软件开发者使用,我们已经在我们的客户操作系统的内置根证书的CA.
- 系上述方法的声音,还是我俯瞰关键细节?
- 既然你控制一个空白的石板客户,如果我想的公共密钥+签名+归档到一个单一的文件,我可以让客户了解和分析结合起来,有没有得到广泛支持的格式,以利用组织这个数据?
问题:
感谢您的回复,是不是特定于Microsoft操作系统Authenticode?客户端是运行Linux的MIPS拱板。 – Hoofamon
那么,这将是一个很好的理由不使用Authenticode :)。签名数据格式可能仍然是赢家。 – bartonjs