关于时间戳和使用 Signtool 进行代码签名 - 将多个时间戳机构的时间戳应用于签名代码是否被认为是最佳实践?可能有助于我理解的其他相关问题:
是否可以利用不同的时间戳服务器应用多个时间戳?
如果我对这篇文章的理解是正确的,那么答案是肯定的
看:Authenticode 的替代时间戳服务 https://stackoverflow.com/questions/2872105/alternative-timestamping-services-for-authenticode
如果是这样,多个时间戳是否提供时间戳的验证“故障转移”?
例如,一段代码由 comodo 和 verisign 双方签名并加盖时间戳。如果系统无法连接到 verisign,如果它可以连接到 comodo 来验证时间戳,它仍然有效吗?我假设当验证代码并检测到时间戳时,系统会将网络流量发送到时间戳颁发机构以验证时间戳。如果情况并非如此,并且只是在本地验证(其中一个?)时间戳是由受信任的 CA 针对可能回答问题的本地存储颁发的。
也许另一个要问的问题是,在检查时间戳时,这是一个“AND”(所有时间戳必须可验证,代码才能通过检查)或“OR”(其中一个时间戳必须可验证,代码才能通过检查)。
对于 1),他们谈论的是故障转移,这意味着如果第一个服务器无法访问,他们只是从第一个服务器切换到第二个服务器。无论如何,结果只是一个时间戳。
然而,有些人尝试应用两个签名,每个签名都有自己的时间戳:
- 如何使用时间戳正确地对代码进行双重签名? https://stackoverflow.com/questions/20601575/how-does-one-correctly-dual-sign-code-with-a-timestamp?lq=1
- Signtool 无法使用时间戳对 SHA2 和 SHA1 进行双重签名 https://stackoverflow.com/questions/18542160/signtool-failing-to-dual-sign-sha2-and-sha1-with-timestamps
对于 2),一旦时间戳成为可执行文件的一部分,就不再需要连接到服务器。正如您已经假设的那样,时间戳本身就是一个签名,如果 Windows 信任该签名,则它被视为有效。
对于3),由于缺乏可用的样本,我目前无法给出答案。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)