Sdílet prostřednictvím

Odvolání certifikátu OPM

  • Článek

Microsoft může odvolat certifikát správce ochrany výstupu (OPM). Seznam odvolaných certifikátů je uložený v globálním seznamu odvolaných certifikátů (GRL). GrL má následující formát:

Oddíl Popis
Záhlaví Struktura GRL_HEADER.
Jádro Obsahuje následující seznamy odvolaných certifikátů:
  • Binární odvolání jádra
  • Binární odvolání v uživatelském režimu
  • Odvolání certifikátů
  • Důvěryhodné kořeny (rezervované)
Seznam důvěryhodných kořenových certifikátů se aktuálně nepoužívá a je vyhrazen pro budoucí použití.
Rozšiřitelné položky Obsahuje informace používané jinými komponentami. Tato část není pro OPM relevantní.
Obnovení: Obsahuje identifikátory GUID, které definují identifikátory služby Windows Update. Tato část obsahuje identifikátory pro následující seznamy:
  • Binární odvolání jádra
  • Binární odvolání v uživatelském režimu
  • Odvolání certifikátů
Aplikace může tyto identifikátory použít k vyžádání obnovené verze odvolaného binárního souboru, pokud je k dispozici.
Podpis: Základní oddíl Podepíše záhlaví a základní oddíly.
Podpis: Rozšiřitelný oddíl Podepíše záhlaví a rozšiřitelné oddíly.

 

Hlavička GRL je struktura GRL_HEADER. dwSequenceNumber člen struktury obsahuje číslo verze GRL. Toto číslo se zvýší při každé aktualizaci GRL a na počítači uživatele se umístí nová verze.

Odvolané certifikáty OPM jsou uvedeny v seznamu odvolaných certifikátů v části Jádro. Každá položka Jádra v GRL je pole 20 bajtů, které obsahuje hodnotu hash SHA-1 veřejného klíče odvolaného certifikátu.

Oddíly Podpis obsahují podpisy, které lze použít k ověření, že grL nebyl manipulován. Každý oddíl podpisu obsahuje strukturu MF_SIGNATURE. První podpis podepíše záhlaví a oddíl Core. Druhý podpis podepíše hlavičku a rozšiřitelný oddíl; tento podpis není pro OPM relevantní.

Pokud chcete zajistit, aby samotný grL nebyl manipulován, ověřte podpis následujícím způsobem:

  1. Najděte začátek struktury MF_SIGNATURE. Umístění struktury MF_SIGNATURE je uvedeno v cbSignatureCoreOffset člen struktury GRL_HEADER. Umístění je určeno jako posun v bajtech od začátku GRL.
  2. Parsujte strukturu MF_SIGNATURE jako podpis PKCS #7 s řetězem certifikátů.
  3. Ověřte řetěz certifikátů až do důvěryhodného kořenového adresáře.
  4. Ověřte, že listový certifikát má v EKU následující identifikátor objektu: 1.3.6.1.4.1.311.10.5.4.
  5. Vypočítá hodnotu hash bajtů, které obsahují hlavičku a základní oddíly GRL.
  6. Ověřte, že hodnota hash odpovídá podpisu v listovém certifikátu.

Správce ochrany výstupu

GRL_HEADER

MF_SIGNATURE