关于使用 signtool 的时间戳和代码签名 - 将来自多个时间戳机构的戳应用于签名代码是否被认为是最佳实践?可能有助于我理解的其他相关问题:
是否可以使用不同的时间戳服务器应用多个时间戳? 如果我对这篇文章的理解是正确的,那么答案是肯定的 请参阅:Alternative timestamping services for Authenticode
如果是这样,多个时间戳是否提供时间戳的“故障转移”验证?
例如,一段代码由 comodo 和 verisign 签名,然后加上时间戳。如果系统无法连接到 verisign,如果它可以连接到 comodo 以验证时间戳,它仍然有效吗?我假设在验证代码并检测到时间戳时,系统将网络流量发送到时间戳授权机构以验证时间戳。如果不是这种情况,它只是在本地验证(其中之一?)时间戳是由受信任的 CA 针对可能回答问题的本地商店颁发的。也许还有一个问题要问,当检查时间戳时,这是一个“AND”(所有时间戳都必须是可验证的,代码才能通过检查)还是“OR”(其中一个时间戳必须是可验证的,代码才能通过检查)通过检查)。
最佳答案
对于 1),他们谈论的是故障转移,这意味着如果第一台服务器无法访问,他们只是从第一台服务器切换到第二台服务器。在任何情况下,结果都只是一个时间戳。
然而,有人试图应用两个签名,每个签名都有自己的时间戳:
- How does one correctly dual-sign code with a timestamp?
- signtool failing to dual sign SHA2 and SHA1 with timestamps
对于 2),一旦时间戳成为可执行文件的一部分,就不再需要连接到服务器了。正如您已经假设的那样,时间戳本身就是一个签名,如果 Windows 信任该签名,则它被认为是有效的。
对于3),由于没有可用的样本,我暂时无法给出答案。
关于timestamp - 使用多个时间戳服务器进行代码签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20912013/