Condividi tramite

Revoca dei certificati OPM

  • Articolo

Un certificato OPM (Output Protection Manager) può essere revocato da Microsoft. L'elenco dei certificati revocati viene archiviato in un elenco di revoche globale (GRL). L'archiviazione con ridondanza geografica ha il formato seguente:

Sezione Descrizione
Intestazione Struttura GRL_HEADER.
Nucleo Contiene gli elenchi di revoche seguenti:
  • Revoche binarie del kernel
  • Revoche binarie in modalità utente
  • Revoche di certificati
  • Radici attendibili (riservate)
L'elenco di radici attendibili non viene attualmente usato ed è riservato per un uso futuro.
Voci estendibili Contiene informazioni utilizzate da altri componenti. Questa sezione non è rilevante per OPM.
Rinnovi: Contiene GUID che definiscono gli identificatori di Windows Update. Questa sezione contiene gli identificatori per gli elenchi seguenti:
  • Revoche binarie del kernel
  • Revoche binarie in modalità utente
  • Revoche di certificati
Un'applicazione può usare questi identificatori per richiedere una versione rinnovata di un file binario revocato, se disponibile.
Firma: sezione Core Firma l'intestazione e le sezioni principali.
Firma: sezione Estendibile Firma l'intestazione e le sezioni estendibili.

 

L'intestazione GRL è una struttura GRL_HEADER. Il dwSequenceNumber membro della struttura contiene il numero di versione GRL. Questo numero viene incrementato ogni volta che l'archiviazione con ridondanza geografica viene aggiornata e una nuova versione inserita nel computer dell'utente.

I certificati OPM revocati sono elencati nell'elenco delle revoche di certificati della sezione Core. Ogni voce Core nell'archiviazione con ridondanza geografica è una matrice a 20 byte che contiene l'hash SHA-1 della chiave pubblica del certificato revocato.

Le sezioni Firma contengono firme che possono essere usate per verificare che l'archiviazione con ridondanza geografica non sia stata manomessa. Ogni sezione Firma contiene MF_SIGNATURE struttura. La prima firma firma l'intestazione più la sezione Core. La seconda firma firma l'intestazione più la sezione Extensible; questa firma non è rilevante per OPM.

Per assicurarsi che l'archiviazione con ridondanza geografica non sia stata manomessa, verificare la firma come indicato di seguito:

  1. Trovare l'inizio della struttura MF_SIGNATURE. La posizione della struttura MF_SIGNATURE viene specificata nel membro cbSignatureCoreOffset della struttura GRL_HEADER. La posizione viene specificata come offset in byte dall'inizio dell'archiviazione con ridondanza geografica.
  2. Analizzare la struttura MF_SIGNATURE come firma PKCS #7 con una catena di certificati.
  3. Verificare la catena di certificati fino a una radice attendibile.
  4. Verificare che il certificato foglia abbia l'identificatore di oggetto seguente nell'EKU: "1.3.6.1.4.1.311.10.5.4".
  5. Calcolare un hash dei byte che includono l'intestazione e le sezioni principali dell'archiviazione con ridondanza geografica.
  6. Verificare che l'hash corrisponda alla firma nel certificato foglia.

di Output Protection Manager

GRL_HEADER

MF_SIGNATURE