本篇文章3510字,读完约9分钟

发现这个问题后,赛门铁克证书亚太地区战术伙伴天威将真诚及时地组织技术人员进行系统研究,第一时间分析问题的存在情况,研究处理方案。 经过很多测试,最近他们发表了最佳的处理方案。

天威诚信:微软公告称,sha1算法的应用环境和应用方法设定了时限

根据天威诚信分析,截至年1月1日,使用sha1算法证书签名的文件(签名需要时间戳)将在年1月1日之前成功在windows 7及以后的操作系统上得到验证。 此外,从年1月1日开始,windows 7及更高版本的操作系统不支持用sha1算法证书签名的应用模式文件。 并且,自去年1月1日以来,windows 10应用模型文件中不支持使用sha1时间戳摘要的签名(/td sha1 )。 由于windows 7之前的系统不支持rfc3161的新版本的sha256时间戳,因此截至年1月1日的单签名文件将与旧版本的时间戳和sha1算法的时间戳摘要(“ 请注意,只有sha1算法的代码签名证书的客户需要将证书升级到sha256算法。 升级后,原始的sha1算法证书仍然有效。 根据适用情况,可以灵活采用sha1证书单签名、sha256证书单签名或双重签名方法,以防止文件的数字签名兼容性受到影响。

“应对sha1算法变更,天威诚信发布最佳方案”

天威诚信:为了应对sha1算法的变更,需要根据文件样式和适用模式采用签名证书和签名参数

与此次微软更改shell算法的时间普遍面临的问题相比,天威诚信认为不同风格或应用模式的文档,应采用不同的签名证书和签名参数。

另外,根据天威诚信分解,影响signtool签名兼容性的签名参数的一部分是/fd即文件摘要算法( file digest ),选项值为sha1、sha256、sha284、sha512 /t是旧的时间戳地址/tr新版rfc3161时间戳地址/td新版rfc3161时间戳签名摘要算法,选项值: sha1、sha256、默认值sha1。 要使用sha256算法的时间戳签名摘要,/td参数必须在/tr之后指定。 /ph指定signtool打印并验证页面的哈希值。 需要vista内核驱动文件的签名。

“应对sha1算法变更,天威诚信发布最佳方案”

与内核驱动文件的天威诚信相比,. cat文件不支持双重签名。 只能选择单签名。 目前,微软并未限定驱动程序文件中需要采用sha256算法的证书,建议采用sha1单签名以实现最佳兼容性. sys, . dll等文件:内核驱动文件中的pe样式文件并不限定微软必须由sha256算法证书签名,但是建议尽可能采用双重签名以适应最佳的APP场景。 另外,我们认为. msi文件不支持双重签名,为了适应最佳的APP场景,我们建议尽可能使用sha256单签名。

“应对sha1算法变更,天威诚信发布最佳方案”

与activex控制程序相比,. cab文件不支持双重签名。 建议尽可能采用sha256单签名,以防止ie浏览器意外拦截新版本的操作系统。 . cab文件中包含的pe样式控制文件建议尽可能采用sha256单签名,以防止ie浏览器在新版本的OS中错误地拦截; 建议以. ocx样式直接分发的控制文件尽可能采用sha256单签名,以防止ie浏览器在新版本的操作系统中错误地拦截。

“应对sha1算法变更,天威诚信发布最佳方案”

与其他pe样式的可执行文件相比,天威诚认为,APP模式的pe样式的可执行文件应该采用双重签名,以尽可能适合不同版本的操作系统。

天威诚信: ‘ 天威诚实代码签名证书助理和‘ Microsoftsigntool.exe双签名可以有效解决由于更改sha1算法而引起的问题

为了更有效地处理这个问题,天威诚信建议采用天威诚信代码签名证书助手(下载: itrus/soft/itrussigntool.exe )。 其特点是:首先,天威诚信代码签名证书助手支持证书的制作请求和安装,支持多个证书的管理。 接下来,如果选择采用单签名规则,默认情况下,代码签名证书助手将使用更兼容的/fd sha1和/t参数对程序进行签名。 如果拥有sha1和sha256算法的证书,还可以创建新的签名规则,以方便快捷地支持双重签名操作。 双签名默认采用sha1算法证书的/fd sha1 + /t和sha256算法证书的/fd sha256 + /tr + /td sha256,确保兼容性,确保签名的安全性和易用性。 天威诚信还指出,通过将微软的signtool工具用于命令行签名,也可以参考signtool相关的签名请求。

“应对sha1算法变更,天威诚信发布最佳方案”

而且,天威诚信建议采用微软signtool.exe的双标志。 根据,软件开发者通过采用双签名处理方案来解决sha1算法证书逐步淘汰、sha256算法证书在某些版本的系统和环境中不受支持的问题,可以与不同平台进行交互 可以在同一程序中添加sha1和sha256签名,以便不同操作系统的自动匹配程序可以签名新闻。 另外,天威诚信认为,要采用双签名,必须将signtool.exe升级到6.3.9600版以上( windows sdk v8.1以上的软件包提取),签名用机器操作系统需要windows 8以上 windows 7和server 2008系统的客户可以根据微软文档中列出的signtool依赖文件,从sdk中提取可执行的签名工具包。 另外,还可以下载从天威诚信提取的signtool依赖文件: itrus/soft/signtool.zip

“应对sha1算法变更,天威诚信发布最佳方案”

另外,天威诚信介绍双重签名操作方法如下: sha1签名: sign tool.exe sign/f sha1.pfx/p/t timestamp.verisign/scripts/Tim stamp.dll添加了/ac的使用方法 可以添加交叉证书的sha256签名: Sign工具. Exe Sign/FSHA 256.PFX/P/AS/FD SHA 256/TR Timestamp.Geotrust/TSA/TD SHA 256为/ac

“应对sha1算法变更,天威诚信发布最佳方案”

代码签名选项的时间戳服务器

天威诚信在完成两次签名操作后指出,在windows 8或更高版本的系统上( windows 7和server 2008 r2上必须安装kb3033929 ),然后右键单击已签名的文件,从而生成属性 我进行了数字签名,看到了sha1和sha256两个版本的签名新闻。

天威诚信: sha1算法改为sha256算法后存在的系统兼容问题需要采用专业的应对措施

随着sha1算法的安全性逐年下降,各机构制定了启用新的sha256算法的详细时间表。 根据微软最新的战略,旧版本的windows操作系统仍存在sha256算法兼容性问题,一些新版本的操作系统开始禁用sha1算法 战略详情请参阅下表。

比较文件摘要算法和时间戳的影响天威诚实注意: windows 7及更高版本的操作系统仅支持/t时间戳的使用方法和/fd sha1文件摘要算法。 从2007年1月1日开始,windows 10 APP模式签名只支持/tr时间戳,要求采用/td sha256。

据报道,与smartscreen相比,该程序不是常见的下载副本,可能会危害计算机提示。 天威诚指出,非ev代码签名证书必须累积软件下载安装量,并根据代码签名证书获得声誉。 得到充分的评价后,这个提示会自动消失。 虽然微软没有发布口碑评价系统的详细战略数据,但根据微软的战略,口碑评价与软件的发行时间和安装下载量呈正相关。 也就是说,发行时间越长,下载安装量越多,提示消失的可能性越高。

“应对sha1算法变更,天威诚信发布最佳方案”

为了防止软件开发者受到智能屏幕口碑积累系统的影响,天威诚信建议根据应用场景选择以下方法,消除提示。

1 .用ev代码签名证书对在互联网上下载的可执行文件签名。 ev码签名证书可以立即获得信任,无需经过积累过程,即可迅速消除不友好的提示新闻。

2 .使用得到良好声誉评价的非ev码签名证书,对经由互联网下载的可执行文件进行签名。 使用新的非ev证书对软件包中的所有可执行文件进行签名,并使用受欢迎且不会出现拦截提示的证书对打包的setup文件进行签名。 客户安装setup文件后,将累积新证书的信用。 获得足够的安装数量和可靠性后,新证书将不会再出现拦截提示,并且可以正常使用。

“应对sha1算法变更,天威诚信发布最佳方案”

3、将可执行文件打包成zip、rar等形式。 客户下载解压文件并执行安装操作。 未标记为互联网下载的可执行文件不会被智能屏幕拦截。 因为,压缩软件压缩的执行程序不会被监听。 在压缩可执行文件之前,必须确保可执行文件未被标记为通过互联网下载的文件。

“应对sha1算法变更,天威诚信发布最佳方案”

4、尽快出具在ev代码以外的签名证书上签名的文件,积累足够的信用。 自然积累信用释放APP是一个非常痛苦的过程,但是如果上述所有条件都不适用,自然积累信用的方法释放APP就成为了必然的选择。

标题:“应对sha1算法变更,天威诚信发布最佳方案”

地址:http://www.sdsxywx.com/sdss/12716.html