Windows 10 Для подписания драйверов в Windows 10 Microsoft требует EV сертификат

Тема в разделе "Новости операционных систем Windows", создана пользователем Kиpилл, 12 авг 2015.

  1. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Microsoft, начиная с Windows 10, сделал очень гадкую вещь, а именно - любые kernel drivers должны быть подписаны EV сертификатом.

    http://blogs.msdn.com/b/windows_har.../01/driver-signing-changes-in-windows-10.aspx
    https://msdn.microsoft.com/en-us/library/windows/hardware/ff548231.aspx

    Во-первых, это проблемы для всех, кому это надо делать. Потому что придется покупать EV-сертификат (который стоит дороже). Но это не самое главное.

    Во-вторых, EV-сертификат предполагает участие hardware key и ввода PIN в процессе подписывания (привет автоматизация - расскажете о создании билд-сервера для релизных сборок без test-signing?).

    В-третьих, тот странный человек, которому пришла эта замечательная идея в голову, вероятно, хотел "повысить безопасность" Windows 10, вынудив всех разработчиков драйверов перейти с обычных сертификатов на EV сертификаты, с "уровнем безопасности" как у UEFI. Только вот этот странный человек не очень понял, что безопасность, когда это нужно "одной тысячи компаний в мире" - это не то же самое, что безопасность, когда это нужно "одному миллиону компаний в мире". Т.е. странный человек, "повышая" безопасность до уровня UEFI, в реальности ее снизил, т.к. теперь это надо каждому мало-чего-понимающему monkey-разработчику, чтобы подписать свой мини-драйверок бесполезный. Ну, и дополнительно, создали геморрой для всех.

    Нужно быть полным идиотом, чтобы не понимать, что выведение подписывания драйверов в такую область, приведет к тому, что будут совершаться атаки на этот Dashboard. И будут воровать не доступ к сертификатам, а доступ к этой панели + искать возможности обойти/обмануть Hardware/PIN, как это делают с банками. И результатом этого будет не только то, что как подписывали краденными подписями левые драйверы, так и будут подписывать, но и то, что автоматически при любой одной такой краже (исходно направленной на обычные драйверы) появится возможность сделать UEFI-модули. Т.к. раньше таких людей была условно 1000, а теперь будут - миллионы. (См. выше объяснения). Автор "безопасной" идеи - идиот, который не может подумать на два шага вперед. И малварщики, конечно же, еще будут таскать старые чужие драйверы для Kernel Mode эксплоитинга, для подгрузки своего кода в ядро. Без всяких подписей.

    Ах да, я забыл "в-четвертых". Теперь подписывание драйверов возможно только через полное слитие их [бинарного] кода в Microsoft. Другого легального пути подписать драйверы (так, чтобы они работали на Windows 10, с timestamp от даты выхода) - нет. Т.е. прощай любые закрытые разработки официальным путем. Microsoft должен иметь все копии всех ваших драйверов, если хотите, чтобы они где-то работали.

    Такие дела.

    P.S. Я сильно разочарован в Microsoft. Microsoft становится все больше и больше похожим на убогий Google.

    Источник.
     
    Voldemar2007-72, orderman и Drongo нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    Такое впечатление, что писал человек в состоянии, как будто бы ему только что на яйца наступили.
    Уже ждем миллионной армии зомби, подписывающих UEFI-модули. :Biggrin:

    Для целей тестирования, сейчас на Win10 можно как и раньше не подписывать драйвера для x86 битных систем, если предварительно отключить режим Secure Boot.
    Кроме того, драйвера, подписанные сертификатами, которые были выданы до 29.07.2015, сохраняют обратную совместимость. Т.е. ними все также можно полноценно пользоваться вплоть до срока окончания их действия.
    Детальнее можно почитать в этом интервью (англ.).

    На счет "слития" драйвера (CAB-файла с SYS/DLL, CAT и INF-файлами... автор это называет "бинарным" кодом) компании Microsoft - это вообще бред.
    Как только драйвер выходит в релиз и попадает в руки пользователю, он уже является "слитым". О каких таких еще закрытых разработках идет речь - malware-rootkit что-ли?

    На самом деле новая процедура выглядит гораздо сложнее ввода какого-то hardware ключа.
    Для успешного подписания придется выполнить аттестацию драйвера (нечто похожее на WHQL). Теперь это называется HLK-тест.
    Именно, аттестацию (т.е. подтверждение качества), потому что выполнение теста и исправление всех найденных ошибок полагается целиком и полностью на разработчика
    прежде чем отправить Driver Package на подпись. Кстати говоря, средства автоматизации отправки, приёма и контроля ошибок, у MS как раз таки реализовано на уровне публичного API.
     
    Voldemar2007-72, Drongo и Kиpилл нравится это.
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    Voldemar2007-72 и Kиpилл нравится это.
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Серьезный парень)
     
    Voldemar2007-72 нравится это.

Поделиться этой страницей