.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Verbindliches Kernel-mode code signing in Windows Vista x64

Verbindliches Kernel-mode code signing in Windows Vista x64

  • Comments 6
  • Likes

Immer öfter fällt mir in Diskussionen rund um Windows Vista auf, wie wenig über den Einsatz von signierten Treibern bekannt ist. Oft hört man dann: Microsoft setzt für Windows Vista 64-Bit zertifizierte Treiber voraus. Ohne geht es nicht. Daher an dieser Stelle ein paar Worte zum Hintergrund dieser Aussage.

Windows Vista erlaubt in der 64 Bit-Version nur signierten Kernel-mode Treibern das automatische Laden. Dieser Schutz kann beim Starten von Windows Vista manuell ausgeschaltet werden. User-mode Treiber sind davon nicht betroffen. Kernel-mode Treiber müssen aber nicht von Microsoft zertifiziert sein. Man muss dafür auch kein Zertifikat von Microsoft kaufen.

Generell wird gern Kernel-mode code signing (KMCS) mit dem Windows Logo Programm verwechselt. Ersteres erlaubt die Prüfung der Identität des Herstellers auf Grund des Zertifikats. Letzteres ist mit einer Prüfung des Treibers und einer Signierung durch Microsoft verbunden.

Für KMCS benötigt man lediglich ein Software Publisher Certificate (SPC), das man bei einer kommerziellen CA kaufen kann. Aktuelle CAs, die von Vista unterstützt werden, sind:

  • Baltimore CyberTrust Root
  • Equifax Secure Certificate Authority
  • GTE CyberTrust Global Root
  • GlobalSign Root CA
  • GeoTrust Global CA
  • VeriSign Class 3 Public Primary Certification Authority

Quelle: Microsoft Cross-certificates for Windows Vista Kernel Mode Code Signing

KMCS hat also nichts mit einer Prüfung durch Microsoft zu tun, sondern erlaubt die Ermittlung der Identität des Herstellers. Das heisst noch lange nicht, dass die signierte Software qualitativ gut oder schlecht ist. Letzteres kann durch das Windows Logo Programm getestet werden, das gewisse Anforderungen an die Treiber stellt.

Weitere Informationen zum Thema finden sich in Digital Signatures for Kernel Modules on Systems Running Windows Vista und Driver Compatibility for Windows Vista.

Comments
  • Haben essentielle, absolut wichtige Programme bzw. Gerätetreiber wie

    - WinPCAP

    - OpenVPN's TUN und TAP-Treiber

    - CoLinux

    eigentlich schon ein Zertifikat?

    Könnte Microsoft wichtigen OpenSource-Projekten nicht so ein Codesigning-Zertifikat sponsorn?

  • Wenn die Gerätetreiber unter Windows Vista x64 funktionieren sollen, müssen sie für x64 neu geschrieben oder überarbeitet werden. Code Signing ist schon seit Jahren für die 32 Bit Welt möglich und wird von Microsoft gepushed - leider wird von vielen Softwareentwicklern immer der Ausweg genommen, der Anwender solle doch bitteschön die unsignierte Software installieren und einfach darauf vertrauen, dass die Software schon vertrauenswürdig ist und nicht möglicherweise verändert wurde oder es wird gleich der Warndialog für den Benutzer softwaretechnisch weggeklickt.

    Mit der Umstellung auf x64 macht Microsoft für die neue Generation von Software Code Signing für Kernel-mode Treiber verpflichtend, weil die Vergangenheit gezeigt hat, dass ohne Zwang die Signierung sich nicht durchsetzt. Nun stellst Du die Frage:

    Sollte Microsoft anderen Projekten ein Zertifikat sponsorn?

    Warum sollte Microsoft das machen? Das Zertifikat soll gerade die Identität desjenigen überprüfbar machen, der die Software signiert hat. Wie soll Microsoft das für die tausenden von Projekten machen, die dann alle ein solches Zertifikat haben wollen würden? Das ist die Aufgabe von CAs. Mir stellt sich da eher die Gegenfrage:

    Warum gibt es nicht ein gemeinsames Code Signing Projekt im Open Source Umfeld?

    So wie Sourceforge zum Beispiel Projekten ein Zuhause gibt, Webspace zur Verfügung stellt, Downloadkapazität, Mailing Listen, etc. könnte die Open Source Gemeinde auch gemeinsam ein Code Signing Projekt aufziehen. Sie bräuchten nur einmal ein Zertifikat und könnten das teilen durch alle Projekte. Oder durch Spenden finanzieren, durch Werbung, etc.

  • Viele PCs werden für aufgerüstet oder durch neuere Modelle ersetzt, heute erworbene Prozessoren sind in der Regel 64-bit fähig, doch lohnt sich der Einsatz der 64-bit-Editionen von Windows Vista?Argumente für den Einsatz der 64-bit-Editionen von Window

  • Wer unter Windows Vista Treiber installieren möchte, bei denen die Hardwareerkennung keine Übereinstimmung

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment