Здравствуйте, okman, Вы писали:
O>Здравствуйте, CyberDemon, Вы писали: CD>>Правильно ли я разул глаза — драйверы, подписанные до релиза вин10, будут работать без шума, без пыли?
O>Да. Из текста по ссылке выше: O>
O>In fact, Microsoft plans to offer a bit of a grace period:
O>Drivers signed before Windows 10 RTM will be able to use the older signing mechanisms.
We do support a transitional policy for folks that hopefully alleviates some of the pressure. Cross-signing will continue to work, as long as the cross-signing certificate was issued prior to Windows 10 RTM (the cut off).
Судя по этим словам даже если дровина будет подписана после W10 RTM она таки загрузиццо, но серт д.б. выпущен до W10 RTM. Это существенная разница. Т.е. если за оставшиеся до W10 RTM 2-3 дня прикупить/продлить серт, то можно пережить смутное время.
We do support a transitional policy for folks that hopefully alleviates some of the pressure. Cross-signing will continue to work, as long as the cross-signing certificate was issued prior to Windows 10 RTM (the cut off).
S>Судя по этим словам даже если дровина будет подписана после W10 RTM она таки загрузиццо, но серт д.б. выпущен до W10 RTM. Это существенная разница. Т.е. если за оставшиеся до W10 RTM 2-3 дня прикупить/продлить серт, то можно пережить смутное время.
S>Правильно я понял?
Похоже, что так.
Да, и там ведь речь о кросс-сертификатах.
Может быть, можно будет подписывать драйверы и сертификатами, выданными после Windows 10 RTM,
если использовать старые кроссы.
Здравствуйте, okman, Вы писали:
O>Похоже, Microsoft приготовила очередную подставу с подписью драйверов.
Это не подстава никакая. Наконец-то начали нормально подходить к вопросу безопасности и качества драйверов.
Надеюсь будет меньше хлама непонятно кем в каких кустах написанного.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>А EV-сертификат годится для подписывания обычных исполняемых файлов (EXE/DLL), или для них нужен отдельный, обычный сертификат?
Годится. Я так понимаю, что EV ничем, кроме дополнительных OID-ов, ничем от обычного сертификата не отличается.
Здравствуйте, okman, Вы писали:
O>Инфа не совсем точная. Прямо сейчас с DigiCert: $995 на три года. Плюс какой-нибудь другой O>серт для подписи на XP-Vista-Server2003-Server2008. Итого выйдет полторы штуки примерно. O>Не такая уже и незаметная разница.
100% появятся конторки которые будет подписывать своим сертификатом за 20 баксов. Если уже не появились.
Здравствуйте, ))))), Вы писали:
>Это не подстава никакая. Наконец-то начали нормально подходить к вопросу безопасности и качества драйверов. >Надеюсь будет меньше хлама непонятно кем в каких кустах написанного.
Сумеете объяснить, каким образом качество драйвера связано с процедурой идентификации его изготовителя, а безопасность — со сложностью этой процедуры?
Плюсы в безопасности можно усмотреть лишь в том случае, когда при выдаче сертификата происходит фактическая (путем прямого контакта с государственными органами) проверка регистрации юрлица, а не только просмотр сканов документов. Если этого не делается, подделать изображения нужных документов не намного сложнее, чем паспорта или водительского удостоверения.
Здравствуйте, ))))), Вы писали:
>Это не подстава никакая. Наконец-то начали нормально подходить к вопросу безопасности и качества драйверов.
Не следует путать EV-сертификат и WHQL, здесь качество и безопасность никем не контролируется.
Купил себе серт и пиши дальше свой г-нкод, в этом-то и прикол.
Никаких полезностей, кроме того, что EV намного сложнее купить, эти сертификаты разработчикам
драйверов не дают. Зато взамен получаем массу нового и интересного, начиная с того, что SHA-2
поддерживается "из коробки" только на Windows 8 и выше и заканчивая различными проблемами при
запуске драйвера, вплоть до синего экрана (из-за отсутствия KB 3081436).
А уж пользоваться USB-токеном во время цифрового подписывания — это ж жуть до чего удобно!
Особенно когда разработчики удалены друг от друга географически.
На WHDC-портале то и дело какие-то перебои, ждать подписи submission иногда приходится
по нескольку часов.
>Надеюсь будет меньше хлама непонятно кем в каких кустах написанного.
А хлам — это что, например? Давайте конкретнее.
Вот malware, например — это хлам или нет? Так малварщики не будут покупать EV-серты, они найдут дырку в
каком-нибудь старом драйвере и успешно заюзают его для проникновения в систему. См. DSEFix как пример.
И Windows 10 позволит загружаться таким драйверам. То есть, весь старый хлам, подписанный до релиза Windows 10,
будет успешно загружаться и работать на ней. А новые драйверы, если они не подписаны EV — нет, даже если
они там тестировались и вылизывались месяцами. Я считаю, что это бред.
Здравствуйте, okman, Вы писали:
O>Не следует путать EV-сертификат и WHQL, здесь качество и безопасность никем не контролируется.
Да и в WHQL контролируются лишь самые расхожие проблемы. Помню, как сделал первое приложение для работы со звуковыми устройствами через Kernel Streaming, и с ним стали массово валиться драйверы Realtek, Creative и прочих "гигантов", до этого годами успешно проходившие WHQL.
Даже сейчас в тестах HCK для звуковых устройств полно бардака и внутренних ошибок — в нескольких тестах уже лет пять не могут исправить одни и те же глюки, о которых много раз писалось, а многие опасные ситуации до сих пор тестами не покрыты.
O>малварщики не будут покупать EV-серты, они найдут дырку в O>каком-нибудь старом драйвере и успешно заюзают его для проникновения в систему. См. DSEFix как пример. O>И Windows 10 позволит загружаться таким драйверам.
Что интересно, у меня Win10 10.0.10586 нормально загружает драйверы, подписанные хоть сегодня сертификатом от GlobalSign, полученным на физлицо в 2013-м. Последние обновления винды ставил в первых числах января. Выходит, MS часть своих угроз пока не исполнила.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Что интересно, у меня Win10 10.0.10586 нормально загружает драйверы, подписанные хоть сегодня сертификатом от GlobalSign, полученным на физлицо в 2013-м. Последние обновления винды ставил в первых числах января. Выходит, MS часть своих угроз пока не исполнила.
Я где-то краем уха слышал, что MS планирует исполнить эти угрозы в очередном крупном апдейте для Windows 10.
Но насколько это будет соответствовать действительности — неизвестно. MS ведь могут под давлением IHV/ISV и
на уступки пойти...
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>То есть, теперь и в Secure Boot грузятся драйверы, подписанные стандартными сертификатами?
Да.
ЕМ>А в чем тогда его секурность, ежели к sha-1 доверия нет?
Честно говоря, влияние Secure Boot здесь больше смахивает на какой-то побочный
эффект или баг, чем на фичу, к тому же, оно нигде не документировано.
Вот здесь, например, сказано, что при включенном Secure Boot должны быть
подписаны и 32-битные драйверы:
Kernel-mode drivers will not run if they are not properly signed by a trusted certification authority (CA).
The operating system will not allow untrusted drivers to run and standard mechanisms like kernel debugging and testsigning will not be permitted.
А вот здесь есть любопытная таблица по поводу "Secure Boot + Driver Signing":
Но, судя по всему, написанное в таблице не соответствует действительности.
Например, "WHQL signature required" — я легко загружаю свои драйверы, подписанные
GlobalSign-ом, никакой WHQL-сигнатуры у них, понятное дело, нету.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Сумеете объяснить, каким образом качество драйвера связано с процедурой идентификации его изготовителя, а безопасность — со сложностью этой процедуры?
Так же как 100 долларов на аккаунт разработчика у эпл с качеством программ в аппсторе. Отсев явного шлака и подъем входного порогя для китайских ООО РогаКопыта.
Безопасность и так все понятно. Малварьщики без разбору не будут лезть в кернел спейс и намного проще будут баниться.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Что интересно, у меня Win10 10.0.10586 нормально загружает драйверы, подписанные хоть сегодня сертификатом от GlobalSign, полученным на физлицо в 2013-м. Последние обновления винды ставил в первых числах января. Выходит, MS часть своих угроз пока не исполнила.
Windows 10 Insider Preview — x64 — Build 14279, сертификат SHA-1, купленный в этом году у GlobalSign:
драйверы не грузятся. Если подписывать старым сертом (2013-2016), то все окей. На OSR пишут, что в
Windows 10 Redstone 1 угрозы таки будут исполнены (http://www.osronline.com/showthread.cfm?link=274801).
Здравствуйте, okman, Вы писали:
O>EV тоже есть. SHA-1 для поддержки XP-Vista-7.
То есть, для поддержки XP-Vista-7 нужен непременно традиционный сертификат с SHA-1? Или таки можно как-то добавить SHA-1 к EV-сертификату, чтобы подпись на его основе понимали старые системы?
