Dela via

Återkallning av OPM-certifikat

  • Artikel

Ett OPM-certifikat (Output Protection Manager) kan återkallas av Microsoft. Listan över återkallade certifikat lagras i en global lista över återkallade certifikat (GRL). GRL har följande format:

Sektion Beskrivning
Rubrik En GRL_HEADER struktur.
Kärna Innehåller följande återkallningslistor:
  • Binära återkallningar av kernel
  • Binära återkallningar i användarläge
  • Återkallanden av certifikat
  • Betrodda rötter (reserverade)
Listan över betrodda rötter används för närvarande inte och är reserverad för framtida användning.
Utökningsbara poster Innehåller information som används av andra komponenter. Det här avsnittet är inte relevant för OPM.
Förnyelser: Innehåller GUID:er som definierar Windows Update-identifierare. Det här avsnittet innehåller identifierare för följande listor:
  • Binära återkallningar av kernel
  • Binära återkallningar i användarläge
  • Återkallanden av certifikat
Ett program kan använda dessa identifierare för att begära en förnyad version av en återkallad binär fil, om en är tillgänglig.
Signatur: Kärnavsnitt Signerar huvud- och kärnavsnitten.
Signatur: Utökningsbart avsnitt Signerar rubriken och utökningsbara avsnitt.

 

GRL-huvudet är en GRL_HEADER struktur. dwSequenceNumber medlem i strukturen innehåller GRL-versionsnumret. Det här antalet ökas när GRL uppdateras och en ny version placeras på användarens dator.

Återkallade OPM-certifikat visas i listan över återkallade certifikat i avsnittet Core. Varje core-post i GRL är en matris med 20 byte som innehåller SHA-1-hash för den offentliga nyckeln för det återkallade certifikatet.

Signaturavsnitten innehåller signaturer som kan användas för att verifiera att GRL inte har manipulerats. Varje signaturavsnitt innehåller en MF_SIGNATURE struktur. Den första signaturen signerar rubriken plus avsnittet Core. Den andra signaturen signerar rubriken plus avsnittet Extensible. den här signaturen är inte relevant för OPM.

Kontrollera signaturen på följande sätt för att säkerställa att GRL:en inte har manipulerats:

  1. Hitta början på MF_SIGNATURE struktur. Platsen för MF_SIGNATURE-strukturen anges i cbSignatureCoreOffset medlem i GRL_HEADER-strukturen. Platsen anges som en förskjutning i byte från början av GRL.
  2. Parsa MF_SIGNATURE struktur som en PKCS #7-signatur med en certifikatkedja.
  3. Kontrollera certifikatkedjan till en betrodd rot.
  4. Kontrollera att lövcertifikatet har följande objektidentifierare i EKU:n: "1.3.6.1.4.1.311.10.5.4".
  5. Beräkna en hash för byte som innehåller huvudet och kärnavsnitten i GRL.
  6. Kontrollera att hashen matchar signaturen i lövcertifikatet.

Output Protection Manager

GRL_HEADER

MF_SIGNATURE