Verisign - Authentification - für C++?



  • Servus,

    ich habe einen kleinen kernelmode Treiber für x64 und x86, nun möchte ich diesen gerne zertifizieren sodass er auch ohne Meldungen geladen wird und x64 ihn nicht entfernt.
    Neben der Frage zum Thema : wo ist es gerade am günstigsten?
    Kommt leider immer noch die Frage: Was braucht man denn genau für eine Zertifizierung für Microsoft kernel mode Treiber und dazugehörigem Treiber Programm im User Space?

    Vor allem kam die Frage auf, wielange diese bezahlte Zertifikation leben wird oder ob das Packet dauerhaft zertifiziert werden kann?

    Grüße,
    TheNoName







  • Du brauchst nur ein Kernel-Mode-Code-Signing Zertifikat zu dem es ein passended Cross-Certificate gibt, so dass der Windows-Kernel es "anerkennt".

    Eine Liste von solchen Zertifikaten findest du hier:
    http://msdn.microsoft.com/en-us/windows/hardware/gg487315.aspx

    Wir haben unser letztes z.B. von Digicert bestellt:
    http://www.digicert.com/code-signing/

    Wenn du wissen willst wer der billigste Anbieter ist musst du allerdings schon selbst vergleichen.

    Die Firmen die dir solche Zertifikate ausstellen verifizieren dabei im Prinzip nur deine Identität, also dass die im Zertifikat gemachten Angaben auch wirklich der Realität entsprechen.
    Dann bekommst du ein Zertifikat von denen, das dann für eine gewisse Zeit gültig ist (übliche Laufzeiten sind zwischen 1 und 3 Jahren).
    So lange das Zertifikat gültig ist kannst du dann Kernel-Mode-Code signieren. Wichtig ist nur wann signiert wurde, d.h. die signierten Treiber bleiben auch nach Ablauf des Zertifikat verwendbar - du kannst dann bloss keine neuen Versionen mehr signieren.

    Wie man das alles genau anstellt (was wie signiert werden muss, welche Tools man verwenden kann, welche Optionen der Tools man verwenden muss etc.) ist halbwegs gut im Netz dokumentiert.

    ps: x64 "entfernt" deinen Treiber nicht, der Treiber wird gleich gar nicht geladen.



  • Hi,

    danke für die Antwort.
    Ich suche so nach Angeboten wie z.B. Codeproject mal hatte, für 99€ bei ?godaddy? nur für Mitglieder oder sowas ...

    Du brauchst nur ein Kernel-Mode-Code-Signing Zertifikat zu dem es ein passended Cross-Certificate gibt, so dass der Windows-Kernel es "anerkennt".

    Wenn ich diesen Satz richtig interpretiere dann sind die dort Aufgeführten Firmen durch Microsoft zertifiziert worden ond keine anderen Firmen können damit ein Zertifikat ausstellen?
    Diese Liste dürfte sich aber wegen Zertifikatsmissbrauch ab und zu ändern und muss damit eigentlich nachgeladen werden?

    ps: x64 "entfernt" deinen Treiber nicht, der Treiber wird gleich gar nicht geladen.

    Er wird geladen, ich kann ihn bestätigen und dann beim reboot wird er nicht mehr geladen und ist damit entfernt. bzw. bleibt unter Umständen das System beim booten stehen wegen einem solchen Treiber. Nut F8 lässt das dann wieder zu.



  • thenoname schrieb:

    Ich suche so nach Angeboten wie z.B. Codeproject mal hatte, für 99€ bei ?godaddy? nur für Mitglieder oder sowas ...

    Ich kenne kein solches Angebot, sonst würde ich es dir auch sagen 🙂

    Du brauchst nur ein Kernel-Mode-Code-Signing Zertifikat zu dem es ein passended Cross-Certificate gibt, so dass der Windows-Kernel es "anerkennt".

    Wenn ich diesen Satz richtig interpretiere dann sind die dort Aufgeführten Firmen durch Microsoft zertifiziert worden ond keine anderen Firmen können damit ein Zertifikat ausstellen?
    Diese Liste dürfte sich aber wegen Zertifikatsmissbrauch ab und zu ändern und muss damit eigentlich nachgeladen werden?

    Die Liste ändert sich auch, die von mir verlinkte Seite wird dann entsprechend aktualisiert. Das aktuelle Änderungsdatum ist 15. September 2011, was ja lange nach Release der ersten Windows x64 Version war.

    ps: x64 "entfernt" deinen Treiber nicht, der Treiber wird gleich gar nicht geladen.

    Er wird geladen, ich kann ihn bestätigen und dann beim reboot wird er nicht mehr geladen und ist damit entfernt. bzw. bleibt unter Umständen das System beim booten stehen wegen einem solchen Treiber. Nut F8 lässt das dann wieder zu.

    Er wird nur geladen wenn Windows gerade im Test-Signing Mode läuft.
    Wenn Windows nicht im Test-Signing Mode läuft sieht es nur auf den ersten Blick so aus als ob er geladen würde. Der Device-Manager "installiert" dabei den Treiber, der Kernel verweigert allerdings ihn zu laden. D.h. du hast dann das richtige Device-Icon, aber das Device hat ein "!" drinnen.
    Und was den Test-Signing Mode angeht, den kann man auch permanent aktivieren - dann muss man nicht bei jedem Boot F8 drücken.
    http://msdn.microsoft.com/en-us/library/windows/hardware/ff553484(v=vs.85).aspx

    Ohne Test-Signing Mode werden unpassend signierte Treiber auf jeden Fall niemals geladen. Sonst wäre das ganze ja auch ziemlich sinnlos, weil es pöse Dinge wie das Installieren eines Root-Kits nicht verhindern würde.


Log in to reply