Nobody likes having to sign their 64-bit Windows kernel-mode drivers. But after you’ve done it a few times,
you get used to it. And after all, you tell yourself, it’s probably worth it in terms of security.
And at least it’s something you can do in-house and Microsoft doesn’t have to get involved, right?
Well, that’s about to change. According to announcements made today at WinHEC in Shenzhen, kernel-mode
code signing as we’ve come to know it will not be sufficient for your drivers to run on Windows 10.
In order for your driver to be trusted on Windows 10 desktop machines, you will have to get a Microsoft signature.
Wait! Stop. Breathe. This does not mean your drivers will have to pass the Windows Certification tests.
OK? Have you calmed down? If so, let me explain how this is going to work. For Windows 10 and later, for
each kernel-mode driver you want to distribute you will have to:
Sign your driver package with your company’s code signing certificate
Login to the Microsoft Hardware Developer Portal (AKA sysdev)
Upload your signed driver package
Agree to a few particulars
Download the Microsoft signed files, within minutes.
Of course, you can optionally still run your driver through the full battery of tests and submit your
logs to sysdev, just as you could in the past. This new option replaces the ability to self-sign drivers.
Why the Change?
For year, security engineers have been saying that driver signing is vulnerable to exploitation.
Bad actors have managed to steal certificates, and some have even managed to acquire code signing
certificates on their own. It seems that Microsoft agrees.
Starting in Windows 10, to get a Microsoft signature your organization will need to create an account on
the Microsoft Hardware Development Portal (http://sysdev.microsoft.com). Creating an account on sysdev
is both free and easy, but it does require that your organization have a valid code signing certificate.
And starting in Windows 10 your organization will need to have an Extended Validation Code Signing Certificate.
Extended Validation (EV) certificates require your organization to pass more background checks by the
Certification Authority (CA) than ordinary certificates.ev-shield And they must be stored on “secure
hardware tokens.” In addition, only CAs that pass an independent audit review can issue EV certificates.
Of course, it should go without saying that EV certificates are more expensive than regular Class 3 Code
Signing certificates (the lowest cost EV cert we were able to find was $450). Sysdev currently supports
EV certificates from Verisign (Symantec) and Digicert.
Therefore, starting in Windows 10, to get any sort of signature from Microsoft (just the driver signing
signature or the certification signature) your organization will need to pass the more stringent
requirements to qualify for an EV code signing certificate. Microsoft claims this will make driver
signing a whole lot safer. However, how this will really play out in the real world depends entirely on
how secure the process of obtaining an EV certificate is.
Oh, and one more thing: To obtain the Windows signature you will need to “attest” to the fact that you’ve
comprehensively tested your driver and that you’ll monitor the Hardware Developer Portal for issues
discovered in your driver and respond to those issues. That seems pretty reasonable to me.
What’s Affected?
These requirements only apply to Windows 10 and later. In fact, Microsoft plans to offer a bit of a
grace period: Drivers signed before Windows 10 RTM will be able to use the older signing mechanisms.
But once Windows 10 ships, if you want your driver to run on Windows 10 desktop systems, you’ll need to (a)
get an EV certificate, (b) using that signature submit your driver to sysdev to get Microsoft’s signature.
The Ramifications
We don’t have the time to fully explore all of the ramifications of this new Windows 10 requirement
here in this blog post. We’ll delve into this topic further, in future issues of The NT Insider.
But we see several interesting complications, including:
Will smaller, independent, developers and OSS teams be able to obtain the EV certificates necessary
to sign their Windows 10 drives?
Will you need two certificates now? EV Certs require the use of SHA 256. Less than a week ago (when
this was written) Microsoft issued a Security Advisory and KB that updates Windows 7 systems to support
SHA-256 for code signing. Does this work? We don’t know yet. We’ll test it, we’ll let you know.
If it doesn’t work, it means you’ll have to have two Certs for signing your Win7 through Win10 kernel-mode code:
One SHA1 cert for signing Win7 drivers and one EV SHA256 for signing everything else, including your
submission to sysdev.
Will the signatures all be additive (in other words, can I sign my components with my SHA1 cert and
appropriate cross cert, my EV cert, and then add the MSFT signature to those 2), so that I can have three
simultaneous signatures at the same time? Will this work properly on older versions of Windows?
While it’s sort of clear what’s happening on Windows 10 Client systems, how will these changes
impact the next version of Windows Server? So far, we don’t know.
Conclusions
Starting in Windows 10, the old way of signing drivers is no longer sufficient. You’ll need an EV Code
Signing certificate, and you’ll need to use the sysdev web site to get a Microsoft signature on your driver.
As part of getting that signature, you’ll need to agree to monitor sysdev for driver problems that are
reported and respond to issues. This will only apply on Windows 10 and later, and to drivers built after
Windows 10 is released.
If this provides additional real security to the process of creating kernel-mode software, it’ll be a
good thing. As long as it doesn’t simultaneously freeze out small organizations and open software developers.
Stay tuned. We’ll be delving into these issues further in the months to come.
Здравствуйте, okman, Вы писали:
O>Похоже, Microsoft приготовила очередную подставу с подписью драйверов.
А может оно и к лучшему — слишком много расплодилось софта, который ставит драйвера без особой необходимости.
Вроде бы обычная программа, а после установки система валится — либо драйвер кривой, либо system-wide hook.
MS наконец обновила страницу с Driver Signing Policy.
Расписано, когда требуется драйвер, пропущенный через MS Dev Portal.
На С НУЛЯ установленных Windows version 1607 (это anniversary update) со включённым Secure Boot будут требовать драйвера с WHQL signature.
Если выполняется ЛЮБОЕ из условий:
— Windows была обновлена до Windows 10, version 1607 с более старой сборки
— Secure Boot отключен
— Driver подписан старым сертификатом, выпущенным до July 29th 2015.
То драйвер загрузится и без этого.
Starting with new installations of Windows 10, version 1607, Windows will not load any new kernel mode drivers which are not signed by the Dev Portal
...
Cross-signed drivers are still permitted if any of the following are true:
The PC was upgraded from an earlier release of Windows to Windows 10, version 1607.
Secure Boot is off.
Driver was signed with cross-signing certificate issued prior to July 29th 2015.
Last year, we announced that beginning with the release of Windows 10, all new Windows 10 kernel mode drivers must be submitted to the Windows Hardware Developer Center Dashboard portal (Dev Portal) to be digitally signed by Microsoft. However, due to technical and ecosystem readiness issues, this was not enforced by Windows Code Integrity and remained only a policy statement.
Я пробовал Windows 10 64 с установленным anniversary update с UEFI Secure Boot — драйвера пока грузятся.
Но здесь винда обновлена с более старой сборки.
У меня нет iso с Windows 10, version 1607 что бы попробовать поставить её с нуля.
Зато я попробовал поставить Windows Server 2016 Technical Preview 5 со всеми апдейтами.
Если включить UEFI Secure Boot, драйвера не загружаются.
При попытке загрузить драйвер в журнале появляются сообщения вида:
"Сбой при запуске службы XXX из-за ошибки
Системе Windows не удается проверить цифровую подпись этого файла. При последнем изменении оборудования или программного обеспечения могла быть произведена установка неправильно подписанного или поврежденного файла либо вредоносной программы неизвестного происхождения."
При отключении UEFI Secure Boot тот же драйвер прекрасно загружается и работает.
При этом boot-драйвер загружается и с UEFI Secure Boot и без него.
Но это тоже одно из исключений, boot-драйвера без WHQL signature они запретят позже:
To prevent systems from failing to boot properly, boot drivers will not be blocked, but they will be removed by the Program Compatibility Assistant. Future versions of Windows will block boot drivers.
Здравствуйте, okman, Вы писали:
C>>А что ужасного-то? Ну на один сертификат больше покупать, не смертельно, не обязательно же симантековский брать. C>>EV от digicert получается без проблем на ИП O>Как быть тем, кто не ИП ?
Открыть ИП или OOO
C>>(~$500 на три года) O>Инфа не совсем точная. Прямо сейчас с DigiCert: $995 на три года. Плюс какой-нибудь другой O>серт для подписи на XP-Vista-Server2003-Server2008. Итого выйдет полторы штуки примерно. O>Не такая уже и незаметная разница.
У digicert есть 50% скидка для разработчиков win драйверов. Два сертификата (обычный и EV) на три года обойдутся в $764.
O>Но дело не в деньгах, а в том, что это все становится все менее и менее доступным.
Разве что для хоббийных\домашних проектов. Правда я не встречал таких, которым бы нужно было распространяемые драйвера подписывать
В общем я хочу сказать, что для бизнеса, даже мелкого, никаких дополнительных сложностей я не вижу. Если честно, я вообще был бы рад, если бы MS заставила еще и тесты проходить в обязательном порядке при получении подписи на sysdev.
Здравствуйте, Евгений Музыченко, Вы писали:
C>>EV от digicert получается без проблем на ИП
ЕМ>Я зарегистрировал ИП и пошел за сертификатом к DigiCert. Отправил им скан свидетельства, теперь они просят, во-первых, получить у юриста или нотариуса подтверждение моей личности и регистрационных документов, а во-вторых — опубликоваться вместе с адресом (домашним, понятное дело) и номером телефона в Dun and Bradstreet или Google Business. А мне совершенно не хочется публиковать эти персональные, по сути, данные — тем более, что я их нигде не рекламирую и сообщаю только контрагентам.
ЕМ>Если Вы получали у них сертификат — как проходили процедуру подтверждения?
У меня немного другой алгоритм был: я сначала получил номер DUNS, а потом пошел в DigiCert.
При регистрации в Duns указывал адрес регистрации ИП, в моем случае это домашний. Но ничего страшного я в этом не вижу: во-первых, эта же информация есть и в ЕГРИП, во-вторых, точно так же доступна только по запросу, в открытом виде не находится.
При первичной проверке DigiCert просто дал номер DUNS, дополнительно мне позвонили по телефону. Больше ничего не потребовалось.
В сертификате в итоге адреса нет, только страна. И выпущен, кстати, на DBA Name, никаких IP Pupkin. В DUNS анкете было какое-то поле специальное, то ли Trade Name, то ли English Name. В телефонном разговоре с менеджером DigiCert специально уточнил, что сертификат мне нужен именно на него.
Когда потребовался серт с Extended Validation, их устроила банковская выписка по оплате налогов и телефонный разговор с сотрудником валютного контроля банка, в котором обслуживается ИП. Сотрудник ВК просто потому, что он английский знал и согласился, что ему позвонят.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, okman, Вы писали:
O>>Похоже, Microsoft приготовила очередную подставу с подписью драйверов.
I>А может оно и к лучшему — слишком много расплодилось софта, который ставит драйвера без особой необходимости. I>Вроде бы обычная программа, а после установки система валится — либо драйвер кривой, либо system-wide hook.
Столкнулся с тем, что Windows 8.1 отправляет в BSOD если не может проверить подпись драйвера, хотя драйвер может быть совершенно исправен.
По идее можно было бы просто драйвер не грузить, а ехать дальше, но вместо этого — BSOD без указания даже кода ошибки.
И нажать кнопку было нечем, так как это была Win таблетка, а драйвер тача еще не загрузился.
Спасибо за полезную информацию!
P>Я пробовал Windows 10 64 с установленным anniversary update с UEFI Secure Boot — драйвера пока грузятся. P>Но здесь винда обновлена с более старой сборки. P>У меня нет iso с Windows 10, version 1607 что бы попробовать поставить её с нуля.
Проверил вчера на чистой установке Win10-1607: при включенном Secure Boot драйверы,
подписанные стандартным сертификатом (SHA-1, выдан GlobalSign в феврале этого года),
действительно не грузятся — error 577.
Есть у меня и второй сертификат, выданный в 2013 году, так вот с ним на этой новой Винде все окей.
Серт, кстати, истекает послезавтра, так что "у нас еще есть время!"
Здравствуйте, Vicul, Вы писали:
V>Короче, только что пообщался с ними в чате, на Висте и 7 все будет пучком. EV работает с SHA2, а чтобы виста и 7 это поняли V>нужен устанавливать патч
V>
V>Devon J.: [11:24:41 PM] Hello! How are you today?
V>Victor: [11:24:41 PM] Hello, I have a question about EV Code Signing Certificate. I will use it for signing my drivers for Win10 (x86/x64). But I have too drivers for other Windows. Can I use EV for signing Win 7 and Vista or should still purchase Code Signing Certificate too?
V>Devon J.: [11:24:49 PM] Hello
V>[11:25:35 PM] You can use the certificate to sign the drivers for use on Windows 7, Vista however will be an issue due to it not supporting SHA2 signatures.
V>Victor: [11:27:00 PM] So, do I need to purchase two certificates?
V>Devon J.: [11:27:35 PM] No, all new code signing certificates are issued out as SHA2 certificates.
V>Victor: [11:30:55 PM] Sorry, if I sign a driver, for example, for Vista by EV, then my user will have a problem, because Vista supports only SHA1? Is true?
V>Devon J.: [11:31:31 PM] Correct
V>Victor: [11:32:53 PM] So I need two certificates: EV and Code Signing. Is it true?
V>Devon J.: [11:34:16 PM] No, all new code signing certificates are issued out as SHA2. Microsoft is mandating that all new CS certificates are SHA2. If they wanted Vista to have SHA2 support, they could push out a patch for it.
V>Victor: [11:37:41 PM] ok, does Win 7 have that problem with SHA2, or I need a patch there too?
V>Devon J.: [11:38:40 PM] Microsoft pushed out a patch for SHA2 code signing certificates for Windows 7 back in March. The hotfix is listed here: https://technet.microsoft.com/en-us/library/security/3033929.aspx
Availability of SHA-2 Code Signing Support for Windows 7 and Windows Server 2008 R2
Microsoft is announcing the reissuance of an update for all supported editions of Windows 7 and
Windows Server 2008 R2 to add support for SHA-2 signing and verification functionality. This update
supersedes the 2949927 update that was rescinded on October 17, 2014 to address issues that some
customers experienced after installation. As with the original release, Windows 8, Windows 8.1,
Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1 do not require this update
because SHA-2 signing and verification functionality is already included in these operating systems. This update is not available for Windows Server 2003, Windows Vista, or Windows Server 2008.
Так что на поддержку Vista и Server 2003/2008 нас заставляют положить болт.
Здравствуйте, petr_t, Вы писали:
_>Можно подумать, его от этого меньше станет.
Я смотрел что за драйверы ставятся — криво перепиленные примеры из DDK.
Если процедура усложниться, то куча студенческих поделок отвалится,
а кому драйвера нужны, для тех несколько сотен баксов в год — не проблема.
ИМХО, энд-юзерский софт должен работать без костылей.
Здравствуйте, okman, Вы писали:
O>Похоже, Microsoft приготовила очередную подставу с подписью драйверов.
А что ужасного-то? Ну на один сертификат больше покупать, не смертельно, не обязательно же симантековский брать .
EV от digicert получается без проблем на ИП (~$500 на три года)
Двойная подпись (SHA1 + SHA256) поддерживается и работает, один и тот же бинарник нормально подхватывается на win7, Vista, Win 8.1, Win 10 TP build 10041.
Здравствуйте, Conr, Вы писали:
C>А что ужасного-то? Ну на один сертификат больше покупать, не смертельно, не обязательно же симантековский брать. C>EV от digicert получается без проблем на ИП
Как быть тем, кто не ИП ?
C>(~$500 на три года)
Инфа не совсем точная. Прямо сейчас с DigiCert: $995 на три года. Плюс какой-нибудь другой
серт для подписи на XP-Vista-Server2003-Server2008. Итого выйдет полторы штуки примерно.
Не такая уже и незаметная разница.
Но дело не в деньгах, а в том, что это все становится все менее и менее доступным.
Здравствуйте, CyberDemon, Вы писали:
CD>Правильно ли я разул глаза — драйверы, подписанные до релиза вин10, будут работать без шума, без пыли?
Да будут, но только до January 14, 2020 (конец официальной поддержки Win7). Не помню уже где прочитал, поэтому пруф дать не могу.
O>Инфа не совсем точная. Прямо сейчас с DigiCert: $995 на три года. Плюс какой-нибудь другой O>серт для подписи на XP-Vista-Server2003-Server2008. Итого выйдет полторы штуки примерно. O>Не такая уже и незаметная разница.
А че EV Code Signing Certificate не достаточно для всех версий или для Висты и Вин7 надо еще и Code Signing
Certificate покупать?
Вот с их чата, там они говорят достаточно одного EV
[7:56:42 AM] Hi, I am a software developer and would like to sign my driver and programs : .exe, dll, sys and etc. What certificate do I need to buy from you?
Tyler A.: [7:57:05 AM] Hello Victor, you would want either a EV or Standard code signing certificate.
[7:57:16 AM] https://www.digicert.com/code-signing/
[7:57:46 AM] If you are looking to sign drivers for use in windows 10 you would want to go with an EV code signing certificate.
Victor: [7:58:41 AM] I need to sign for winxp — win10
Tyler A.: [7:59:11 AM] Ok then you would want to go with an EV codesigning certificate.
Victor: [8:00:04 AM] is it $331 USD per yeahr?
Tyler A.: [8:00:27 AM] https://www.digicert.com/code-signing/ev-certificate-comparison.htm
[8:00:31 AM] Yes that would be per year
[8:00:37 AM] If you went with a 3 year certificate.
Victor: [8:01:50 AM] thank you, I have understood you.
Здравствуйте, Vicul, Вы писали:
V>А че EV Code Signing Certificate не достаточно для всех версий или для Висты и Вин7 надо еще и Code Signing V>Certificate покупать? V>Вот с их чата, там они говорят достаточно одного EV
V>
V> [7:56:42 AM] Hi, I am a software developer and would like to sign my driver and programs : .exe, dll, sys and etc. What certificate do I need to buy from you?
V>Tyler A.: [7:57:05 AM] Hello Victor, you would want either a EV or Standard code signing certificate.
V>[7:57:16 AM] https://www.digicert.com/code-signing/
V>[7:57:46 AM] If you are looking to sign drivers for use in windows 10 you would want to go with an EV code signing certificate.
V>Victor: [7:58:41 AM] I need to sign for winxp — win10
V>Tyler A.: [7:59:11 AM] Ok then you would want to go with an EV codesigning certificate.
V>Victor: [8:00:04 AM] is it $331 USD per yeahr?
V>Tyler A.: [8:00:27 AM] https://www.digicert.com/code-signing/ev-certificate-comparison.htm
V>[8:00:31 AM] Yes that would be per year
V>[8:00:37 AM] If you went with a 3 year certificate.
V>Victor: [8:01:50 AM] thank you, I have understood you.
EV-сертификаты сейчас выпускают с SHA-256, а он "из коробки" поддерживается только с Windows 8 и выше.
На других системах поддержка SHA-256 делается с помощью дополнительных "приседаний".
На Vista и Server 2008 поддержки SHA-256 нету и, видимо, не будет.
Кроме того, с 01.01.2016 участникам MS Root Certificate Program (т.е. Symantec, DigiCert, Thawte и др.)
запрещается выпускать сертификаты с SHA-1 и даже ходят слухи, что сама Windows скоро перестанет
загружать драйверы, подписанные SHA-1. Так что ситуация мутная.
Раньше можно было просто подписать драйвер signtool-ом и он бы работал на всех версиях Windows,
без необходимости ставить апдейты и прочих дополнительных телодвижений со стороны пользователя.
Как сделать то же самое сейчас (и можно ли вообще) — х.з.
O>EV-сертификаты сейчас выпускают с SHA-256, а он "из коробки" поддерживается только с Windows 8 и выше. O>На других системах поддержка SHA-256 делается с помощью дополнительных "приседаний". O>На Vista и Server 2008 поддержки SHA-256 нету и, видимо, не будет.
O>Кроме того, с 01.01.2016 участникам MS Root Certificate Program (т.е. Symantec, DigiCert, Thawte и др.) O>запрещается выпускать сертификаты с SHA-1 и даже ходят слухи, что сама Windows скоро перестанет O>загружать драйверы, подписанные SHA-1. Так что ситуация мутная.
Короче, только что пообщался с ними в чате, на Висте и 7 все будет пучком. EV работает с SHA2, а чтобы виста и 7 это поняли
нужен устанавливать патч
Devon J.: [11:24:41 PM] Hello! How are you today?
Victor: [11:24:41 PM] Hello, I have a question about EV Code Signing Certificate. I will use it for signing my drivers for Win10 (x86/x64). But I have too drivers for other Windows. Can I use EV for signing Win 7 and Vista or should still purchase Code Signing Certificate too?
Devon J.: [11:24:49 PM] Hello
[11:25:35 PM] You can use the certificate to sign the drivers for use on Windows 7, Vista however will be an issue due to it not supporting SHA2 signatures.
Victor: [11:27:00 PM] So, do I need to purchase two certificates?
Devon J.: [11:27:35 PM] No, all new code signing certificates are issued out as SHA2 certificates.
Victor: [11:30:55 PM] Sorry, if I sign a driver, for example, for Vista by EV, then my user will have a problem, because Vista supports only SHA1? Is true?
Devon J.: [11:31:31 PM] Correct
Victor: [11:32:53 PM] So I need two certificates: EV and Code Signing. Is it true?
Devon J.: [11:34:16 PM] No, all new code signing certificates are issued out as SHA2. Microsoft is mandating that all new CS certificates are SHA2. If they wanted Vista to have SHA2 support, they could push out a patch for it.
Victor: [11:37:41 PM] ok, does Win 7 have that problem with SHA2, or I need a patch there too?
Devon J.: [11:38:40 PM] Microsoft pushed out a patch for SHA2 code signing certificates for Windows 7 back in March. The hotfix is listed here: https://technet.microsoft.com/en-us/library/security/3033929.aspx
Здравствуйте, icezone, Вы писали:
I>А может оно и к лучшему — слишком много расплодилось софта, который ставит драйвера без особой необходимости. I>Вроде бы обычная программа, а после установки система валится — либо драйвер кривой, либо system-wide hook.
Здравствуйте, VladCore, Вы писали:
VC>Здравствуйте, okman, Вы писали:
O>>In order for your driver to be trusted on Windows 10 desktop machines, you will have to get a Microsoft signature.
VC>Вроде это в висте началось. Причем тут десятая?
Нет. В Vista это, во-первых, затрагивало только 64-битные редакции, во-вторых,
можно было подписывать обычным сертификатом (не EV), для которого у MS
выпущен соответствующий кросс-сертификат, и в-третьих, для подписывания
было запустить signtool.exe, т.е. сами бинарники драйвера никуда не нужно
было отправлять, как для Windows 10.
Здравствуйте, okman, Вы писали:
O>Здравствуйте, CyberDemon, Вы писали: CD>>Правильно ли я разул глаза — драйверы, подписанные до релиза вин10, будут работать без шума, без пыли?
O>Да. Из текста по ссылке выше: O>
O>In fact, Microsoft plans to offer a bit of a grace period:
O>Drivers signed before Windows 10 RTM will be able to use the older signing mechanisms.
We do support a transitional policy for folks that hopefully alleviates some of the pressure. Cross-signing will continue to work, as long as the cross-signing certificate was issued prior to Windows 10 RTM (the cut off).
Судя по этим словам даже если дровина будет подписана после W10 RTM она таки загрузиццо, но серт д.б. выпущен до W10 RTM. Это существенная разница. Т.е. если за оставшиеся до W10 RTM 2-3 дня прикупить/продлить серт, то можно пережить смутное время.
We do support a transitional policy for folks that hopefully alleviates some of the pressure. Cross-signing will continue to work, as long as the cross-signing certificate was issued prior to Windows 10 RTM (the cut off).
S>Судя по этим словам даже если дровина будет подписана после W10 RTM она таки загрузиццо, но серт д.б. выпущен до W10 RTM. Это существенная разница. Т.е. если за оставшиеся до W10 RTM 2-3 дня прикупить/продлить серт, то можно пережить смутное время.
S>Правильно я понял?
Похоже, что так.
Да, и там ведь речь о кросс-сертификатах.
Может быть, можно будет подписывать драйверы и сертификатами, выданными после Windows 10 RTM,
если использовать старые кроссы.
Здравствуйте, okman, Вы писали:
O>Похоже, Microsoft приготовила очередную подставу с подписью драйверов.
Это не подстава никакая. Наконец-то начали нормально подходить к вопросу безопасности и качества драйверов.
Надеюсь будет меньше хлама непонятно кем в каких кустах написанного.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>А EV-сертификат годится для подписывания обычных исполняемых файлов (EXE/DLL), или для них нужен отдельный, обычный сертификат?
Годится. Я так понимаю, что EV ничем, кроме дополнительных OID-ов, ничем от обычного сертификата не отличается.
Здравствуйте, okman, Вы писали:
O>Инфа не совсем точная. Прямо сейчас с DigiCert: $995 на три года. Плюс какой-нибудь другой O>серт для подписи на XP-Vista-Server2003-Server2008. Итого выйдет полторы штуки примерно. O>Не такая уже и незаметная разница.
100% появятся конторки которые будет подписывать своим сертификатом за 20 баксов. Если уже не появились.
Здравствуйте, ))))), Вы писали:
>Это не подстава никакая. Наконец-то начали нормально подходить к вопросу безопасности и качества драйверов. >Надеюсь будет меньше хлама непонятно кем в каких кустах написанного.
Сумеете объяснить, каким образом качество драйвера связано с процедурой идентификации его изготовителя, а безопасность — со сложностью этой процедуры?
Плюсы в безопасности можно усмотреть лишь в том случае, когда при выдаче сертификата происходит фактическая (путем прямого контакта с государственными органами) проверка регистрации юрлица, а не только просмотр сканов документов. Если этого не делается, подделать изображения нужных документов не намного сложнее, чем паспорта или водительского удостоверения.
Здравствуйте, ))))), Вы писали:
>Это не подстава никакая. Наконец-то начали нормально подходить к вопросу безопасности и качества драйверов.
Не следует путать EV-сертификат и WHQL, здесь качество и безопасность никем не контролируется.
Купил себе серт и пиши дальше свой г-нкод, в этом-то и прикол.
Никаких полезностей, кроме того, что EV намного сложнее купить, эти сертификаты разработчикам
драйверов не дают. Зато взамен получаем массу нового и интересного, начиная с того, что SHA-2
поддерживается "из коробки" только на Windows 8 и выше и заканчивая различными проблемами при
запуске драйвера, вплоть до синего экрана (из-за отсутствия KB 3081436).
А уж пользоваться USB-токеном во время цифрового подписывания — это ж жуть до чего удобно!
Особенно когда разработчики удалены друг от друга географически.
На WHDC-портале то и дело какие-то перебои, ждать подписи submission иногда приходится
по нескольку часов.
>Надеюсь будет меньше хлама непонятно кем в каких кустах написанного.
А хлам — это что, например? Давайте конкретнее.
Вот malware, например — это хлам или нет? Так малварщики не будут покупать EV-серты, они найдут дырку в
каком-нибудь старом драйвере и успешно заюзают его для проникновения в систему. См. DSEFix как пример.
И Windows 10 позволит загружаться таким драйверам. То есть, весь старый хлам, подписанный до релиза Windows 10,
будет успешно загружаться и работать на ней. А новые драйверы, если они не подписаны EV — нет, даже если
они там тестировались и вылизывались месяцами. Я считаю, что это бред.
Здравствуйте, okman, Вы писали:
O>Не следует путать EV-сертификат и WHQL, здесь качество и безопасность никем не контролируется.
Да и в WHQL контролируются лишь самые расхожие проблемы. Помню, как сделал первое приложение для работы со звуковыми устройствами через Kernel Streaming, и с ним стали массово валиться драйверы Realtek, Creative и прочих "гигантов", до этого годами успешно проходившие WHQL.
Даже сейчас в тестах HCK для звуковых устройств полно бардака и внутренних ошибок — в нескольких тестах уже лет пять не могут исправить одни и те же глюки, о которых много раз писалось, а многие опасные ситуации до сих пор тестами не покрыты.
O>малварщики не будут покупать EV-серты, они найдут дырку в O>каком-нибудь старом драйвере и успешно заюзают его для проникновения в систему. См. DSEFix как пример. O>И Windows 10 позволит загружаться таким драйверам.
Что интересно, у меня Win10 10.0.10586 нормально загружает драйверы, подписанные хоть сегодня сертификатом от GlobalSign, полученным на физлицо в 2013-м. Последние обновления винды ставил в первых числах января. Выходит, MS часть своих угроз пока не исполнила.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Что интересно, у меня Win10 10.0.10586 нормально загружает драйверы, подписанные хоть сегодня сертификатом от GlobalSign, полученным на физлицо в 2013-м. Последние обновления винды ставил в первых числах января. Выходит, MS часть своих угроз пока не исполнила.
Я где-то краем уха слышал, что MS планирует исполнить эти угрозы в очередном крупном апдейте для Windows 10.
Но насколько это будет соответствовать действительности — неизвестно. MS ведь могут под давлением IHV/ISV и
на уступки пойти...
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>То есть, теперь и в Secure Boot грузятся драйверы, подписанные стандартными сертификатами?
Да.
ЕМ>А в чем тогда его секурность, ежели к sha-1 доверия нет?
Честно говоря, влияние Secure Boot здесь больше смахивает на какой-то побочный
эффект или баг, чем на фичу, к тому же, оно нигде не документировано.
Вот здесь, например, сказано, что при включенном Secure Boot должны быть
подписаны и 32-битные драйверы:
Kernel-mode drivers will not run if they are not properly signed by a trusted certification authority (CA).
The operating system will not allow untrusted drivers to run and standard mechanisms like kernel debugging and testsigning will not be permitted.
А вот здесь есть любопытная таблица по поводу "Secure Boot + Driver Signing":
Но, судя по всему, написанное в таблице не соответствует действительности.
Например, "WHQL signature required" — я легко загружаю свои драйверы, подписанные
GlobalSign-ом, никакой WHQL-сигнатуры у них, понятное дело, нету.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Сумеете объяснить, каким образом качество драйвера связано с процедурой идентификации его изготовителя, а безопасность — со сложностью этой процедуры?
Так же как 100 долларов на аккаунт разработчика у эпл с качеством программ в аппсторе. Отсев явного шлака и подъем входного порогя для китайских ООО РогаКопыта.
Безопасность и так все понятно. Малварьщики без разбору не будут лезть в кернел спейс и намного проще будут баниться.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Что интересно, у меня Win10 10.0.10586 нормально загружает драйверы, подписанные хоть сегодня сертификатом от GlobalSign, полученным на физлицо в 2013-м. Последние обновления винды ставил в первых числах января. Выходит, MS часть своих угроз пока не исполнила.
Windows 10 Insider Preview — x64 — Build 14279, сертификат SHA-1, купленный в этом году у GlobalSign:
драйверы не грузятся. Если подписывать старым сертом (2013-2016), то все окей. На OSR пишут, что в
Windows 10 Redstone 1 угрозы таки будут исполнены (http://www.osronline.com/showthread.cfm?link=274801).
Здравствуйте, okman, Вы писали:
O>EV тоже есть. SHA-1 для поддержки XP-Vista-7.
То есть, для поддержки XP-Vista-7 нужен непременно традиционный сертификат с SHA-1? Или таки можно как-то добавить SHA-1 к EV-сертификату, чтобы подпись на его основе понимали старые системы?
Здравствуйте, okman, Вы писали:
O>Я пробовал, но не получилось. По-любому цепочка сертификатов будет содержать SHA-2, а если O>ядро этот алгоритм не понимает, драйвер не загрузится.
Грустно, придется покупать оба.
При выдаче сертификатов на ИП они не пихают в реквизиты домашний адрес?
Здравствуйте, okman, Вы писали:
O>У нас сертификат GlobalSign, выдан на ООО, ничего такого в свойствах нету, O>только название компании и "BE", т.е. Беларусь.
У GlobalSign как раз явно написано, что они отображают в сертификатах адрес организации. Странные они...
Здравствуйте, Conr, Вы писали:
C>EV от digicert получается без проблем на ИП
Я зарегистрировал ИП и пошел за сертификатом к DigiCert. Отправил им скан свидетельства, теперь они просят, во-первых, получить у юриста или нотариуса подтверждение моей личности и регистрационных документов, а во-вторых — опубликоваться вместе с адресом (домашним, понятное дело) и номером телефона в Dun and Bradstreet или Google Business. А мне совершенно не хочется публиковать эти персональные, по сути, данные — тем более, что я их нигде не рекламирую и сообщаю только контрагентам.
Если Вы получали у них сертификат — как проходили процедуру подтверждения?
Здравствуйте, Conr, Вы писали:
C>У меня немного другой алгоритм был: я сначала получил номер DUNS, а потом пошел в DigiCert.
Мне DUNS и прочие бизнес-ресурсы на фиг не нужны, поскольку по заказам я не работаю, лично себя вообще не рекламирую, да и продукты свои тоже особо не продвигаю.
Кстати, сколько времени заняла регистрация DUNS?
C>При регистрации в Duns указывал адрес регистрации ИП, в моем случае это домашний. Но ничего страшного я в этом не вижу: во-первых, эта же информация есть и в ЕГРИП, во-вторых, точно так же доступна только по запросу, в открытом виде не находится.
О, это уже радует. Мне казалось, что информация в DUNS будет свободно видна любому желающему, а это напрягает видимостью даже не столько адреса, сколько телефона, ибо какой-нибудь менеджер, нагугливший запись, легко сподобится позвонить, не заморачиваясь разницей во времени.
C>При первичной проверке DigiCert просто дал номер DUNS, дополнительно мне позвонили по телефону.
Насколько они там говорливы? Я по-английски худо-бедно говорю, а вот понимаю речь очень плохо. При том, что пишу практически свободно, и весьма развесисто, у всех позвонивших возникает когнитивный диссонанс.
C>В сертификате в итоге адреса нет, только страна. И выпущен, кстати, на DBA Name, никаких IP Pupkin. В DUNS анкете было какое-то поле специальное, то ли Trade Name, то ли English Name. В телефонном разговоре с менеджером DigiCert специально уточнил, что сертификат мне нужен именно на него.
А вот это странно, ибо я в форме запроса сертификата сперва указал "самопридуманное" название, на что из DigiCert сразу же спросили, где оно официально зарегистрировано. Получается, что DUNS канает за официальную регистрацию?
C>Когда потребовался серт с Extended Validation, их устроила банковская выписка по оплате налогов и телефонный разговор с сотрудником валютного контроля банка, в котором обслуживается ИП.
Это для меня не годится, ибо я ИП зарегистрировал только что, никакой деятельности и налогов там пока нет, и вряд ли сразу будет. Я даже обычную справку из налоговой представить не смогу, ибо много лет перебивался случайными контрактами и деклараций не подавал, чтобы не множить геморроя.
Здравствуйте, Евгений Музыченко, Вы писали:
C>>У меня немного другой алгоритм был: я сначала получил номер DUNS, а потом пошел в DigiCert.
ЕМ>Мне DUNS и прочие бизнес-ресурсы на фиг не нужны, поскольку по заказам я не работаю, лично себя вообще не рекламирую, да и продукты свои тоже особо не продвигаю.
Да мне DUNS тоже нужен только для сертификата Как раз чтобы его на DBA Name получить.
ЕМ>Кстати, сколько времени заняла регистрация DUNS?
Зарегистрировали за 2 дня.
C>>При регистрации в Duns указывал адрес регистрации ИП, в моем случае это домашний. Но ничего страшного я в этом не вижу: во-первых, эта же информация есть и в ЕГРИП, во-вторых, точно так же доступна только по запросу, в открытом виде не находится. ЕМ>О, это уже радует. Мне казалось, что информация в DUNS будет свободно видна любому желающему, а это напрягает видимостью даже не столько адреса, сколько телефона, ибо какой-нибудь менеджер, нагугливший запись, легко сподобится позвонить, не заморачиваясь разницей во времени.
Если я правильно понимаю механизм, то просто так не нагуглить, нужно запрос в DNB делать. Но, возможно, это очень просто, не интересовался. "Левых" звонков на номер из DUNS анкеты не было, только от DigiCert.
C>>При первичной проверке DigiCert просто дал номер DUNS, дополнительно мне позвонили по телефону. ЕМ>Насколько они там говорливы? Я по-английски худо-бедно говорю, а вот понимаю речь очень плохо. При том, что пишу практически свободно, и весьма развесисто, у всех позвонивших возникает когнитивный диссонанс.
Ну у меня английский тоже не идеальный. Но проблем не было, менеджер к такому явно был готов.
C>>В сертификате в итоге адреса нет, только страна. И выпущен, кстати, на DBA Name, никаких IP Pupkin. В DUNS анкете было какое-то поле специальное, то ли Trade Name, то ли English Name. В телефонном разговоре с менеджером DigiCert специально уточнил, что сертификат мне нужен именно на него. ЕМ>А вот это странно, ибо я в форме запроса сертификата сперва указал "самопридуманное" название, на что из DigiCert сразу же спросили, где оно официально зарегистрировано. Получается, что DUNS канает за официальную регистрацию?
Да. Я только для этого в DUNS и регистрировался. Кстати, в DigiCert я только через 10 месяцев после получения DUNS номера обратился, возможно это положительную роль сыграло.
C>>Когда потребовался серт с Extended Validation, их устроила банковская выписка по оплате налогов и телефонный разговор с сотрудником валютного контроля банка, в котором обслуживается ИП. ЕМ>Это для меня не годится, ибо я ИП зарегистрировал только что, никакой деятельности и налогов там пока нет, и вряд ли сразу будет. Я даже обычную справку из налоговой представить не смогу, ибо много лет перебивался случайными контрактами и деклараций не подавал, чтобы не множить геморроя.
Для "обычного" сертификата кроме DUNS номера вообще ничего не потребовалось. Если нужен EV, то наверняка есть и другие варианты. Менеджеры, с которыми я общался, мне показались адекватными и даже где-то дружелюбными. Может быть просто повезло
Здравствуйте, Conr, Вы писали:
C>Да мне DUNS тоже нужен только для сертификата Как раз чтобы его на DBA Name получить.
Не вижу в форме на dandb.com поля насчет DBA — есть только Business Name. Кстати, а что указывать в Legal Structure? Там нет ни Sole Proprietorship, ни Individual.
C>Для "обычного" сертификата кроме DUNS номера вообще ничего не потребовалось. Если нужен EV, то наверняка есть и другие варианты.
Пока мне полностью хватает и обычного — еще ни один пользователь не пожаловался, но он выдан в 2013-м, это должно иметь значение. Спрашивал у разработчиков, насколько успешно грузятся драйверы, подписанные обычным сертификатом, выданным в конце 2015-го или начале 2016-го — отзывы противоречивые. У кого-то нет проблем, у кого-то десятка не грузит в режиме SecureBoot. Поэтому и настроился на EV.
C>Менеджеры, с которыми я общался, мне показались адекватными и даже где-то дружелюбными. Может быть просто повезло
Не, мне их менеджеры тоже нравятся — отвечают быстро, подробно, пока все понятно.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Не вижу в форме на dandb.com поля насчет DBA — есть только Business Name. Кстати, а что указывать в Legal Structure? Там нет ни Sole Proprietorship, ни Individual.
Когда я получал DUNS, анкета была в виде .doc файла, там другие поля были. Сейчас я бы попробовал указать Business Name и Legal Structure как Not Available или Other.
Здравствуйте, Conr, Вы писали:
C>Сейчас я бы попробовал указать Business Name и Legal Structure как Not Available или Other.
Сейчас там основной затык в том, что страной по умолчанию стоит USA, и поле неактивно — сменить не получается. Пойду спать, с утра буду ломиться в их чат за разъяснениями.
Кстати, у кого-нибудь есть соображения, в каком направлении искать адвоката для Face-to-Face Authentication? Я позвонил в пару новосибирских юридических фирм, занимающихся международной практикой — нигде о таком вообще не слышали. Позвонил в нотариальную палату, там перевели на своих юристов — аналогично. Наши нотариусы могут лишь удостоверить соответствие личности изображению на фотографии. Спрашивал у DigiCert, годится ли нотариус — ответили, что нужен или lawyer, или accountant. Второй, как я понимаю, вообще бухгалтер — разве какой-нибудь российский бухгалтер в здравом уме за такое возьмется?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Кстати, у кого-нибудь есть соображения, в каком направлении искать адвоката для Face-to-Face Authentication? Я позвонил в пару новосибирских юридических фирм, занимающихся международной практикой — нигде о таком вообще не слышали. Позвонил в нотариальную палату, там перевели на своих юристов — аналогично. Наши нотариусы могут лишь удостоверить соответствие личности изображению на фотографии. Спрашивал у DigiCert, годится ли нотариус — ответили, что нужен или lawyer, или accountant. Второй, как я понимаю, вообще бухгалтер — разве какой-нибудь российский бухгалтер в здравом уме за такое возьмется?
По поводу accountant. Подходит любой сотрудник банка, который сможет подтвердить, что вы у них обслуживаетесь. DigiCert важно просто позвонить по официальному номеру (готовы еще набрать добавочный номер сотрудника), и получить подтверждение. Согласится ли кто-нибудь в вашем банке , у меня получилось такого человека найти.
Здравствуйте, Conr, Вы писали:
C>По поводу accountant. Подходит любой сотрудник банка, который сможет подтвердить, что вы у них обслуживаетесь.
Проблема в том, что я еще нигде не обслуживаюсь в качестве ИП — только как физлицо, а это их, подозреваю, не устроит. Хотя спрошу.
C>DigiCert важно просто позвонить по официальному номеру (готовы еще набрать добавочный номер сотрудника), и получить подтверждение.
А как же эта простыня Face-to-Face, которую они попросили распечатать, дать на подпись официальному лицу и отправить им скан? Там речь о проверке моих регистрационных документов на ИП.
А D&B и вовсе ведет себя странно: в форме данных о бизнесе жестко забиты United States, сменить не получается. Дождался вечера, зашел к ним в чат — сотрудник прислал вот такое сообщение:
Unfortunately, I cannot fulfill requests on international companies through chat. To apply for an international D&B D-U-N-S® Number, you’ll need to call 1-800-234-3867. You may also contact a D&B Global Customer Service Center: http://www.dnb.com/customer-service/global-customer-service-centers.html
и перестал отвечать. Соединился с другим сотрудником — он прислал это же сообщение, и тут же отключился (даже без "bye"). Такое впечатление, что от меня старались побыстрее избавиться, не заботясь об этикете. После подчеркнутой вежливости буржуйских операторов такой подход вызывает когнитивный диссонанс.
Сейчас звонить в российский саппорт уже поздно, теперь уже завтра...
Интересно, у GlobalSign, где у меня истекает старый сертификат, будет такая же бодяга? Затею-как с ними переписку тоже — в конце концов, можно пережить лишние $500 за три года, если не будут выносить мозг.
Здравствуйте, Conr, Вы писали:
C>Когда я получал DUNS, анкета была в виде .doc файла, там другие поля были.
Сейчас, как выяснилось, головная контора вообще не выдает номеров иностранным компаниям — они делегировали это локальным представителям, так что бесплатность номера кончилась. У нас таким представителем является Интерфакс, которому нужно заплатить 12240 руб.
Если б мне действительно была нужна известность и солидность в виде DUNS — сумма небольшая, но в сложившихся условиях это начинает смахивать на вымогательство.
В последнем ответе представитель DigiCert написал, что их устроит и регистрация в Google My Business, которая пока бесплатна. Но там домашний адрес и личный телефон, насколько я понимаю, будут свободно гуглиться, и даже подсовываться автоматом по любому сколько-нибудь подходящему запросу...
Кто-нибудь вкурсе, будут ли в Windows 10 включать обязательное подписывание драйверов EV Code Signing Certificate?
Я сейчас попробовал загружать драйвер, подписанный обычным сертификатом (две подписи — sha1 и sha256, как рекомендует MS).
Вроде как всё работает.
Пробовал на:
— Windows 10 32 и 64 бит на VirtualBox без UEFI Secure Boot;
— На двух десктопах с UEFI Secure Boot.
— На ноутбуке acer с UEFI Secure Boot.
Везде ставил все последние апдейты, пробовал ставить самые свежие апдейты Windows 10 Developer Preview.
Везде драйвера нормально загружаются и работают.
Вот думаю стоит ли начинать канитель с получением EV сертификата? Какая вообще официальная позиция MS на сегодня?
, у меня получилось такого человека найти.
