Kryptografietools
Kryptografietools bieten Befehlszeilentools für die Codesignierung, Signaturüberprüfung und andere Kryptografieaufgaben.
Einführung in die Codesignatur
Die Softwareindustrie muss benutzern die Mittel zur Verfügung stellen, um Code zu vertrauen, einschließlich des codes, der im Internet veröffentlicht wurde. Viele Webseiten enthalten nur statische Informationen, die mit geringem Risiko heruntergeladen werden können. Einige Seiten enthalten jedoch Steuerelemente und Anwendungen, die heruntergeladen und auf dem Computer eines Benutzers ausgeführt werden sollen. Diese ausführbaren Dateien können riskant zum Herunterladen und Ausführen sein.
Verpackte Software verwendet Branding und vertrauenswürdige Vertriebsstellen, um den Benutzern ihre Integrität zu gewährleisten, aber diese Garantien sind nicht verfügbar, wenn Code im Internet übertragen wird. Darüber hinaus kann das Internet selbst keine Garantie für die Identität des Softwareerstellers bieten. Es kann auch nicht garantiert werden, dass die heruntergeladene Software nach der Erstellung nicht verändert wurde. Browser können eine Warnmeldung anzeigen, die die möglichen Gefahren des Herunterladens von Daten jeglicher Art erklärt, aber Browser können nicht überprüfen, ob Code das ist, was er behauptet. Ein aktiverer Ansatz muss ergriffen werden, um das Internet zu einem zuverlässigen Medium für die Verteilung von Software zu machen.
Ein Ansatz zur Gewährleistung der Authentizität und Integrität von Dateien besteht darin, digitalen Signaturen diesen Dateien anzufügen. Eine an eine Datei angefügte digitale Signatur identifiziert den Verteiler dieser Datei positiv und stellt sicher, dass der Inhalt der Datei nach der Erstellung der Signatur nicht geändert wurde.
Digitale Signaturen können mithilfe der Kryptografie-APIs von Microsoft erstellt und überprüft werden. Hintergrundinformationen zur Kryptografie und den CryptoAPI- Funktionen finden Sie unter Cryptography Essentials.
Ausführliche Informationen zu digitalen Signaturen, Zertifikatenund Zertifikatspeichernfinden Sie in den folgenden Themen:
- Hashes und digitale Signaturen
- digitale Zertifikate
- Verwalten von Zertifikaten mit Zertifikatspeichern
- der Zertifikatvertrauensüberprüfung
Derzeit unterstützt CryptoAPI Tools die Microsoft Authenticode-Technologie, indem Softwareanbieter die folgenden Dateitypen zur Authenticode-Überprüfung signieren können.
| Dateinamenerweiterung | Inhalt |
|---|---|
| .appx, MSIX, .appxbundle, .msixbundle |
Verpackte Windows-Apps. |
| .cab |
Eigenständige Dateien, die für die Anwendungsinstallation und -einrichtung verwendet werden. In einer Cab-Datei werden mehrere Dateien in eine Datei komprimiert. Sie werden häufig auf Microsoft-Softwareverteilungsdatenträgern gefunden. |
| .Katze |
Dateien, die digitale Fingerabdrucke mehrerer Dateien enthalten. Eine CAT-Datei kann verwendet werden, um die Integrität der Dateien sicherzustellen, deren Fingerabdruck sie enthält. |
| .dll |
Dateien, die ausführbare Funktionen enthalten. |
| .exe |
Dateien, die ausführbare Programme enthalten. |
| .js .vbs WSF |
Windows-Shelldateien für JScript oder Microsoft Visual Basic Scripting Edition (VBScript). |
| .msi .Msp .Mst |
Windows Installer-Dateien. |
| OCX |
Dateien, die Microsoft ActiveX-Steuerelemente enthalten. |
| .ps1 |
Dateien, die PowerShell-Skripts enthalten. |
| .Stl |
Dateien, die eine Zertifikatvertrauensliste (CTL) enthalten. |
| .sys |
Dateien, die Treiberbinärdateien enthalten. |
Informationen zur digitalen Signatur finden Sie in den folgenden Dokumenten:
- CCITT, Empfehlung X.509, Der Directory-Authentication Rahmenrahmen, Konsultationsausschuss, Internationale Telefon- und Telegrafieunion, Internationale Telekommunikationsunion, Genf, 1989.
- RSA Laboratories, PKCS #7: Cryptographic Message Syntax Standard. Version 1.5, November 1993.
- Schneier, Bruce, Applied Cryptography, 2d ed. New York: John Wiley & Söhne, 1996.
- https://www.rsa.com
Anmerkung
Diese Ressourcen sind in einigen Sprachen und Ländern oder Regionen möglicherweise nicht verfügbar.
Microsoft-Kryptografietools
Die Veröffentlichungstools und die Signatur-DLL werden im Verzeichnis \Bin Ihrer Microsoft SDK-Installation installiert. Sie enthalten die folgenden Dateien.
| Dateiname | Bemerkungen |
|---|---|
| Cert2SPC.exe | Erstellt ein Software Publisher Certificate (SPC) nur zu Testzwecken. |
| CertMgr.exe | Verwaltet Zertifikate, CTLs und Zertifikatsperrlisten (CRLs). |
| MakeCat.exe | Erstellt eine nicht signierte Katalogdatei, die die Hashes einer Gruppe von Dateien zusammen mit den zugehörigen Attributen jeder Datei enthält. |
| MakeCert.exe | Erstellt ein X.509- Zertifikat nur zu Testzwecken. |
| Pvk2pfx.exe | Konvertiert eine Softwareherausgeberzertifikatdatei (SPC) oder eine private Schlüsseldatei (PVK) in das PFX-Dateiformat (Personal Information Exchange). |
| SetReg.exe | Legt Registrierungsschlüssel fest, die die Zertifikatüberprüfung steuern. |
| SignTool.exe | Signiert und Zeitstempel einer Datei. Überprüfen Sie außerdem die Signatur einer Datei. |