Полезное

Инструкция: подписывание драйверов для Windows 10 (EV) — Программирование драйверов

Александр Никонов 08.11.2019

0 3 733 Среднее время чтения 13 минут

Как подписать драйвер цифровой подписью

Инструкция: подписывание драйверов для Windows 10 (EV)

Эта статья — быстрый онлайн-помощник для тех, кто переходит на новое
подписывание драйверов в Windows 10 (EV, WHDC-портал). Здесь я постараюсь
дать основные рекомендации, чтобы помочь избежать глупых ошибок и, не
теряя времени, скорее адаптировать свои проекты под новые требования.

Для того, чтобы начать подписывать драйверы по-новому, вам потребуется:

* EV-сертификат, приобретенный у Symantec, DigiCert, GlobalSign, WoSign
или Entrust. В тот момент, когда пишутся эти строки, поддерживаются только
сертификаты, приобретенные в перечисленных выше организациях. В будущем список,
вероятно, будет дополняться.

По тексту ниже подразумевается, что сертификат уже установлен на вашем компьютере.

* Аккаунт на Microsoft (LiveID). Регистрация там бесплатная и занимает несколько минут.

* Утилита signtool с поддержкой SHA256. Утилиту лучше взять из последних версий WDK
(8 и выше), так как старые версии не поддерживают SHA256 и некоторые другие возможности,
которые вам потребуются.

* Несколько часов свободного времени.

Первое, что вам нужно сделать — зарегистрировать свою компанию на портале WHDC.
Идем сюда:

жмем ‘Dashboard’ и логинимся в свой аккаунт Microsoft.

Далее вам будет предложено скачать файл winqual.exe, подписать его своим сертификатом и
загрузить обратно. Так портал определяет валидность сертификата, а также сможет сопоставить
цифровую подпись с вашей компанией, если это будет необходимо. Команда подписи для
signtool.exe затруднений вызывать не должна:

Для вашего сертификата опции могут быть немного другие. Обратите внимание на ключи /fd и /td —
они указывают, что и для цифровой подписи, и для timestamp-сервера следует использовать
SHA256, а не SHA1. EV-сертификаты используют только SHA2. Также обратите внимание,
что здесь и далее больше не будут использоваться никакие кросс-сертификаты (ключ /ac),
так как для ‘attestation signing’ (подписывание драйверов через веб-портал) это не требуется.

Точно такой же командой вы будете подписывать submission (архив с файлами для подписи).

Подписав и загрузив winqual.exe, вы попадете на страницу, где вам предложат указать
сведения о компании — название, юридический адрес, почтовый индекс, телефон, e-mail.
Судя по всему, эта информация не проверяется и нужна только «для галочки».
Но указывать откровенно «липовые» данные, разумеется, не стоит.

Вот и все, теперь вы успешно зарегистрированы на веб-портале WHDC.
Осталось немного — дать нужные разрешения (permissions), а также подписать несколько
соглашений, которые предлагает вам Microsoft (по поводу Anti-Malware, DRM и остальные в
таком же духе, всего штук 10). Я не буду подробно описывать нужные шаги, т.к. они
достаточно очевидны.

После этого вам необходимо перелогиниться на веб-портале (выйти и зайти снова), чтобы
изменения вступили в силу.

Сначала вам нужно создать cab-архив с файлами для подписи внутри.
Если пакет драйверов только один, cab-файл должен иметь такую структуру:

Я сразу советую проверять, валиден ли ваш INF-файл, используя утилиту inf2cat из WDK.
Например:

Файл cat, который сгенерировала утилита inf2cat.exe, в архив класть не нужно,
он все равно будет проигнорирован и портал при подписи создаст новый.

Важный момент: все пакеты драйверов в архиве должны быть под какую-то одну
архитектуру — или x64, или x86. На MSDN пишут, что Driver Package может
быть под обе архитектуры, но как правильно их упаковать в cab-архив — я
так и не понял. Попытки добавить еще один уровень в дереве папок внутри
архива (32/64, x86/x64, i386/amd64) успехом не увенчались.
Видимо, самый простой путь — делать две submission, одну чисто под x64,
вторую чисто под x86.

Когда cab-архив будет готов, вам нужно подписать его своим сертификатом.

Далее на веб-портале идем в раздел ‘File signing services’ и выбираем
пункт ‘Create driver signing submission’. После этого все очень просто:
вы указываете название своей submission (произвольное, это нужно только
для информативных целей), является ли ваш драйвер универсальным (см. концепцию
‘Universal Driver’ в MSDN), а также платформы, под которые собран драйвер,
их в настоящий момент четыре:

Microsoft Windows 10 AU Client family, x86
Microsoft Windows 10 AU Client family, x64
Microsoft Windows 10 Client family, x86
Microsoft Windows 10 Client family, x64

C x64/x86 все понятно, а вот разницу между Client и AU Client я не нашел —
подпись в конечном итоге получается одинаковая.

После этого вы загружаете свой cab-архив и жмете ‘Submit’. Все.

Обработка submission (процесс называется review) занимает некоторое время, у
меня было где-то около 15 минут, иногда может затянуться, как пишут, на
часы или даже сутки. Но обычно слишком долгий процесс обработки submission —
признак того, что что-то пошло не так и процесс будет завершен с ошибкой.

По завершении вам придет письмо на почту и архив с подписанными файлами можно
будет скачать там же, на веб-портале.

Кстати, можно запостить сразу несколько submission — они обрабатываются
параллельно и в некоторых случаях можно сэкономить немного времени.

В сведениях о цифровой подписи файлов, которые вам вернет портал, вы с удивлением
(а кто-то, возможно, и с радостью) обнаружите, что вместо ‘OOO Vasya Pupkin’ будет
вписано безликое и ужасное ‘Microsoft Windows Hardware Compatibility Publisher’.

Теперь драйвер можно ставить и запускать на Windows 10 — 1607 и никакие
Secure Boot, Device Guard и т.п. не помеха.

Теперь вопросы чисто практического плана.

Q: Как быть с предыдущими версиями Windows (Vista, Windows 7, Windows 8, Windows 8.1)?

A: К сожалению, здесь без вариантов: либо вам придется купить еще один сертификат SHA1 и
использовать его, либо попробуйте пройти HLK-тесты через веб-портал и тогда получите
подпись, которую понимают все указанные выше версии Windows.

Прохождение HLK-тестов — достаточно большой и серьезный «квест», затрагивать эту
тему здесь я не буду.

Q: Как быть с Windows Server 2016 (vNext)? Его ведь нету в списке при отправке
submission на веб-портале.

A: Для Windows Server 2016 прохождение HLK-тестов для драйвера — единственный
легальный способ поддержки, другие типы цифровых подписей система принимать
не будет. Так что ждите через некоторое время очередную статью от меня про HLK.

Q: Как обстоят дела с двойными сигнатурами?

A: Портал добавляет свою подпись, не затирая старую. Поэтому можно, например,
подписать .sys-файл сначала стандартным сертификатом с SHA1 старым способом с
кросс-сертификатом (cross-signing), а затем отправить его на веб-портал, где
ему будет добавлена вторая подпись SHA256 для Windows 10 (attestation signing).
Такой драйвер сможет запускаться на любых версиях Windows.

Однако в случае с cat-файлами это не сработает, потому что, как уже писалось выше,
портал генерирует свой cat-файл, игнорируя тот, что лежит внутри cab-архива.

Поэтому, если ваш драйвер ставится через INF-файл и вы хотите поддерживать
максимально возможный диапазон версий Windows, придется иметь несколько
пакетов драйвера, один для систем до Windows 10, второй для Windows 10 и выше.

Q: Что делать с модулями, которые собираются с ключом /INTEGRITYCHECK и,
согласно MSDN, должны подписываться с опцией /ph (generate page hashes)?
Например, драйвер, использующий Object Callbacks (ObRegisterCallbacks)?

A: Ничего не нужно. Система подписывания остается такой же, как и для
остальных драйверов Windows 10.

Q: EV-сертификат поставляется на USB-токене, это секьюрно, но неудобно.
У нас разработчики географически удалены друг от друга, а подписывать,
получается, может только один?

A: К сожалению, здесь действительно есть ряд неудобств.
Например, токен SafeNet не работает нормально в RDP-сессии и время
от времени начинает требовать ввод пароля (PIN).

Для решения этой проблемы можно настроить параметры, как написано здесь:

А также воспользоваться приведенным кодом и утилитой RemoteSignTool
(обертка над signtool.exe, работающая через интернет).

В настоящее время ведутся дебаты о том, чтобы оставить EV только для регистрации
на веб-портале, а для подписи submission использовать «обычные» сертификаты
(т.е. без USB-токенов и тому подобного):

Как подписать драйвер цифровой подписью

Вопрос

Ответы

В x64 делаете так: Выполнить gpedit.msc => Конфигурация_пользователя => Административные_шаблоны => Система => Установка_драйвера => Цифровая_подпись_драйверов_устройств => Поставить в Отключено.
Всё. Никакого гемороя нет. И никаких подписей не нужно, маразм это.
Либо путем подписания драйверов — например:
1. Скачиваем программу: Driver Signature Enforcement Overrider v1.2
2. Отключаем Контроль учетных записей пользователей (UAC).
3. Запускаем программу.
4. Включаем тестовый режим, установив переключатель в положение «Enable Test Mode». Кстати, здесь же предусмотренно обратное действие «Disable Test Mode», отключающее тестовый режим.
5. Выпишите список драйверов (их полный путь и название)для своего устройства. Для этого следует зайти в «Свойства системы» — «Диспетчер устройств» найти там устройство с «проблемным» драйвером и посмотреть сведения о драйверах.
5. Переписываем папки с драйверами в отдельный каталог и добавляем подписи для непроверенных системных файлов. Для этого выберите «Sign a System File» и введите имя файла, включая полный путь. Например, если файл драйвера ATITool64.sys расположен в каталоге C:WindowsSystem32Drivers, то вам необходимо указать C:WindowsSystem32DriversATITool64.sys. В случае если необходимо подписать несколько файлов, то просто повторяем эту процедуру несколько раз. Но настоятельно рекомендую делать это в отдельной папке и потом ставить драйвер, а не в System 32.
5. Перезагружаем компьютер.

Конечно, перед этим рекомендую пнуть сюппорт производителя, путем написания официального письма для официального ответа про отсутствие поддержки Vista x64 или Win7 x64 (у них драйвера пересекаются часто).

Предложено в качестве ответа Vinokurov Yuriy Moderator 16 ноября 2009 г. 10:59
Помечено в качестве ответа Vinokurov Yuriy Moderator 1 декабря 2009 г. 9:34

Все ответы

Да, каждый раз.
Пинайте изготовителя оборудования, пусть купит сертификат и подпишет драйверы. На мой взгляд, для любого изготовителя железа несколько сотен долларов в год — не деньги.

Делается это через командную строку, запущенную от имени администратора, командой
bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS

Захотите убрать — выполните команду
bcdedit -deletevalue loadoptions

Отключение(включение) проверки возможно лишь в 32-разрядной ОС (по умолчанию она отключена). В 64-разрядной ОС проверку можно отключить лишь временно, до следующей перезагрузки ПК(во время загрузкиперезагрузки ПК нажать F8 и в появившемся меню выбрать соответствующий пункт).То же действие допустимо и в 32-разрядной ОС.

Предложено в качестве ответа Vinokurov Yuriy Moderator 16 ноября 2009 г. 10:59
Помечено в качестве ответа Vinokurov Yuriy Moderator 1 декабря 2009 г. 9:34

В x64 делаете так: Выполнить gpedit.msc => Конфигурация_пользователя => Административные_шаблоны => Система => Установка_драйвера => Цифровая_подпись_драйверов_устройств => Поставить в Отключено.
Всё. Никакого гемороя нет. И никаких подписей не нужно, маразм это.
Либо путем подписания драйверов — например:
1. Скачиваем программу: Driver Signature Enforcement Overrider v1.2
2. Отключаем Контроль учетных записей пользователей (UAC).
3. Запускаем программу.
4. Включаем тестовый режим, установив переключатель в положение «Enable Test Mode». Кстати, здесь же предусмотренно обратное действие «Disable Test Mode», отключающее тестовый режим.
5. Выпишите список драйверов (их полный путь и название)для своего устройства. Для этого следует зайти в «Свойства системы» — «Диспетчер устройств» найти там устройство с «проблемным» драйвером и посмотреть сведения о драйверах.
5. Переписываем папки с драйверами в отдельный каталог и добавляем подписи для непроверенных системных файлов. Для этого выберите «Sign a System File» и введите имя файла, включая полный путь. Например, если файл драйвера ATITool64.sys расположен в каталоге C:WindowsSystem32Drivers, то вам необходимо указать C:WindowsSystem32DriversATITool64.sys. В случае если необходимо подписать несколько файлов, то просто повторяем эту процедуру несколько раз. Но настоятельно рекомендую делать это в отдельной папке и потом ставить драйвер, а не в System 32.
5. Перезагружаем компьютер.

Проблема с драйвером USB web-камеры Media-Tech 4016, в политиках пробовал «отключено» или «включено» параметр «игнорировать» эффекта ноль, при загрузке через F8 драйвер установился устройство работает нормально. Второй способ — подпись драйвера не помогает, программа подписывает, после перезагрузке драйвер не подписан( всё делал по пунктам).

Есть предложения какие ещё могут быть варианты?

Все о подписи драйверов Windows

Как известно в х64 битных платформах была введена процедура обязательной цифровой подписи всего того, что может попасть в ядро системы, а именно драйверов. О том, на сколько это эффективно и оправданно можно долго спорить, но только одно можно сказать точно — гимора разработчикам тут определенно добавилась, особенно тем, кто раньше никогда подписями не занимался. Также для многих стало крайне не очевидно, каким образом разрабатывать драйвер, когда нет на руках валидного сертификата, а тестировать ведь как-то надо. Вот сча я попытаюсь в краткой и доступной форме рассказать о том как это все делается.

Итак, прежде всего, я бы хотел выделить два типа сертификатов, которые я буду рассматривать в рамках данной статьи — тестовый и настоящий. Разница состоит в том, что настоящий сертификат подписан доверенным CA (Certification Authorities — доверенный издатель), типа VeriSign, GlobalSign ну или самим Microsoft, а тестовый подписан самопальным сертификатом типа от Васи Пупкина.

Тестовый сертификат
Как вы уже наверное догадались, именно с помощью этого типа сертификата можно спокойно разрабатывать драйвер, не имея на руках настоящего, но все не так просто, прежде чем его использовать надо проделать некоторые унылые и мудреные мероприятия:

Сгенерить сам сертификат и установить его. Это можно сделать с помощью тулзы makecert, например так:
Makecert -r -pe -ss PrivateCertStore -n «CN=TestCertforWDK» TestCert.cer
где
PrivateCertStore — название хранилища
TestCertforWDK — название самого сертификата
TestCert.cer — имя файла с сертификатом
(эта тулза входит в комплект WDK 6000/6001 и расположена bin/SelfSign, в WDK 7600 она почему то не входит. )
Добавить этот сертификат в хранилище с доверенным корневыми CA. Открываем в mmc консоль Сертификаты (Run->mmc->File->Add/Remove Snap-in->Certificates) там находим свой сертификат (например в хранилище PrivateCertStore), копируем его в доверенные корневые издатели (Trusted Root Certification Authorities).
Разрешить тестовые подписи. Для этого прописываем в администраторской консоли:
bcdedit.exe –set TESTSIGNING ON
и перезагружаемся, в итоге на десктопе, после перезагрузки, по углам красоваться соответствующие надписи.

Настоящий сертификат
Тут тоже не все так просто. Дело в том, что не любой CA может выдавать сертификаты для подписи драйверов Windows, а только те, которые авторизованы самой Microsoft, это значит, что корневые сертификаты этих издателей должны быть подписаны Microsoft — что, как раз и выражается в виде этого кросс-сертификата. Вот именно из-за отсутствия кросс-сертификата — тестовая подпись, никогда не будет работать как настоящая. Список доверенных CA, которые обладают такими кросс-сертификатами — представлен тут, там же можно скачать и сами кросс-сертификаты.
После того, как вы выложите несколько сотенок $$$ доверенному центру сертификации, они выдадут вам .pfx файл в котором будут содержаться публичный и приватный ключи. Вы его запустите и с помощью нехитрого диалога (как на рисунке ниже), установите в систему.

Подпись драйвера
Процесс подписи для тестового и настоящего сертификата во многом похожи, различия состоят лиш в том, что:

для тествой подписи не нужен кросс-сертификат
для тествой подписи можно не делать таймстамп

Итак приступим

Качаем тулзу для подписи — signtool (тоже входит в комплект WDK6000/6001)
Подписываем, с тестовым сертификатом:
signtool sign /v /s PrivateCertStore /n «TestCertforWDK» driver.sys
где
PrivateCertStore — имя хранилища
TestCertforWDK — имя тестового сертификата
driver.sys — имя драйвера

с настоящим сертификатом:
signtool sign /v /ac MSCV-GlobalSign.cer /s PrivateCertStore /n «YourTrueCertName» /t http://timestamp.globalsign.com/scripts/timstamp.dll driver.sys
где
MSCV-GlobalSign.cer — имя кросс-сертификата
YourTrueCertName — имя настоящего сертификата
timestamp.globalsign.com/scripts/timstamp.dll — адрес таймстампингового центра, в моем случае global sign

Далее драйвер можно установить программно с помощью специальных АПИ либо с помощью замечательной тулзы KmdManager.

Подпись пакета драйверов
В реальной жизни подписи самого драйвера оказывается недостаточно, дело в том, что драйвера устройств как правило поставляются в комплекте с inf-файлом, в котором содержится информация о драйвере и устройствах которые он обслуживает. В этом случае необходимо будет сгенерить cat-файл, который содержит в себе инфу о всех файлах пакета, а потом подписать его точно также, как подписывали драйвер.
Для генерации cat-файла и его подписи нам понадобится:

Корректный inf-файл (запасайтесь бубнами ребятки)
Тулза которая генерит этот cat-файл из inf-файлов — inf2cat (эта тулза входит в комплект WDK6001/7600, и написана, как не странно, на .NET)
После чего генерим cat-файл, например так
inf2cat.exe /driver:releaseamd64 /os:Vista_x64,Server2003_x64,Server2008_x64
где
releaseamd64 — папка в которой находится inf-файл и драйверы
Vista_x64,Server2003_x64,Server2008_x64 — список ОС, на которых должен работать драйвер
Подписываем его точно также, как и драйвер
signtool sign /v /ac MSCV-GlobalSign.cer /s PrivateCertStore /n «YourTrueCertName» /t http://timestamp.globalsign.com/scripts/timstamp.dll catalog.cat
сам драйвер при этом подписывать не обязательно.
Проверяем, что все хорошо подписалось, для этого открываем свойство .cat файла (или драйвера) и смотрим вкладку Digital Signatures — если есть то можем полюбоваться на результат, если нет, то где-то накосячили.
Также более достоверно можно проверить с помощью командной строки
signtool verify /pa /v /c catalog.cat

EasySign
В результате всех моих исследований на предмет САБЖ-а, я некатал по-быстрому простенькую программку EasySign, которая может подписывать дрова без дополнительного гимора с командной строкой и bat-файлами. Возможно кому-то будет полезно.

Саму прогу можно скачать тут, а мануалку почитать ниже:

Вбиваем в Inf Dir путь к папке где лежит сам .inf файл и все необходимые файлы к нему прилагающиеся.
Выбираем ОСи где работает драйвер.
Cross Cert — указываем путь к кросс-сертификату, если нужно подписать драйвер по-настоящему
Cert Store — названия хранилища, где лежит наш сертификат (например PrivateCertStore)
Cert Name — название сертификата (например TestCertforWDK), если сертификат один в хранилище, то можно и не заполнять это поле.
Time Stamp — адрес таймстампингового центра, для тестового сертификата — можно оставить пустым
Файлы которые надо подписать, тут нужно обязательно добавить cat файл (если еще не создан, то прописать его имя вручную), а также можно добавить все файлы драйверов
Generate Catalog Only — если подписывать не надо, а только создать .cat файл
Жмем Sign — чтобы создать cat-файл и подписать, жмем Log — чтобы почитать что произошло, часто бывают ошибки, например неправильно составлен inf-файл, либо signtool чего-то не нашел и т.п.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Цифровая подпись драйверов. Отключение проверки цифровой подписи

Содержание

Введение

Драйвер — это программа, обеспечивающая взаимодействие компьютера с оборудованием и устройствами. Без драйверов невозможна нормальная работа подключенного к ПК оборудования, например видеоадаптера или принтера.

В большинстве случаев драйверы поставляются вместе с Windows, или их можно найти, перейдя в центр обновления Windows на панели управления и проверив наличие обновлений. Если в Windows отсутствует нужный драйвер, то обычно его можно найти на веб-сайте производителя

При подключении к компьютеру нового устройства ОС Windows пытается найти и установить драйвер для этого устройства. Иногда можно увидеть уведомление, что драйвер не подписан, был изменен после подписывания или не может быть установлен ОС Windows. Всегда можно решить, следует ли устанавливать неподписанный или измененный драйвер.

Подписанный драйвер — это драйвер устройства, имеющий цифровую подпись. Цифровая подпись является электронной меткой безопасности, которая может указать издателя данного программного обеспечения, а также факт изменения драйвера после его подписания. Если драйвер подписан издателем и достоверность подписи подтверждена центром сертификации, то можно быть уверенным, что драйвер выпущен именно этим издателем и не подвергался изменениям.

Примечание: 64-разрядные версии ОС Windows блокируют установку драйверов без действительной цифровой подписи (или измененных после ее нанесения). Это сообщение появляется только при попытке установить такой драйвер на 64-разрядную версию Windows. Если при установке драйвера появляются подобные сообщения, посетите веб-сайт изготовителя устройства для получения драйвера устройства с цифровой подписью.

Устанавливать драйвера без цифровой подписи или нет

Невозможно с уверенностью определить, что файл без действительной цифровой подписи получен из указанного источника и не был подделан (возможно, с помощью вируса) после его публикации. Желательно избегать открытия файла, если нет уверенности в достоверности источника и безопасности содержимого файла. Даже действительная цифровая подпись не гарантирует, что содержимое файла является безопасным. На основе удостоверения издателя файла и данных об источнике его загрузки следует решить, можно ли доверять содержимому файла

Выбор действия при установке драйвера

При установке нового драйвера Windows отобразит одно из предупреждений:

Этот драйвер не подписан
Windows не может проверить издателя данного драйвера
Системе Windows требуется драйвер с цифровой подписью

К сожалению, не существует надежных источников сведений, которые могут указать, кто опубликовал неподписанный драйвер. Любой может изменить содержимое неподписанного драйвера. Первоначальная версия неподписанного драйвера действительно могла прийти от изготовителя устройства, но если драйвер не подписан, то возможно, что кто-то его изменил. Нет способа узнать, был ли драйвер изменен злоумышленником. В настоящее время большинство изготовителей подписывают созданные ими драйверы перед их реализацией

Следует устанавливать неподписанный драйвер только в том случае, если он получен с лицензионного диска изготовителя.

Отключение проверки цифровой подписи драйвера

Если вы приняли решение отключить проверку цифровой подписи, то это делается так.

Нажмите клавишу Win + R или Пуск — Выполнить и введите команду gpedit.msc

Откроется Редактор локальной групповой политики. Находим Конфигурация пользователя — Административные шаблоны — Система — Установка драйвера.

В правой половине окна находим Цифровая подпись драйвера устройств. Два раза кликаем или правой клавишей на этом пункте и выбираем Изменить.

В этом окне выбираем пункт Отключить. Применить и ОК. Если выбрать Включить, то дополнительно можно выбрать как системе реагировать на драйвер без цифровой подписи

Конечно выбор всегда за вами, но не так часто приходиться переустановливать драйвера, поэтому лучше лишний раз прочитать предупреждение и подумать, чем потом искать проблему.

Поделиться в социальных сетях