5 ago 2022

Firma de Controladores en Modo Kernel: Windows 7 y 8

Notas:

• Windows 7 ha sido parcheado recientemente por Microsoft para admitir firmas SHA256. Para el certificado de firma de código EV, consulte esta guía.
• A partir del 26 de enero de 2021, GlobalSign ya no ofrecerá los servicios SHA-1 Authenticode y CodeSign Timestamping.

Prerrequisitos:

• Certificado de Firma de Código de GlobalSign
• Kit de desarrollo de software de Windows (SDK) para Windows 8.1
• Certificados cruzado (s): 
  • Los pedidos SHA-256 también utilizan el certificado cruzado R1-R3 – predeterminado el 31 de marzo de 2014 y después. (El certificado cruzado R1-R3 deberá instalarse en el equipo firmante, pero no especificarse como un certificado adicional durante el procedimiento de firma)

Opciones importantes de SignTool:

• /ac Especifique un certificado adicional.
• /f  Especifique el certificado de firma en un archivo.
• /p  Especifique la contraseña para el certificado de firma.
• /fd Especifique el algoritmo de resumen de archivo utilizado en la creación de firmas de archivo.
  • e.g. /fd sha256 para colocar una firma SHA256 (SHA1 es el valor predeterminado).
• /n "Nombre común del certificado" Especifica el certificado para firmar el archivo desde el Almacén de certificados de Windows con el nombre común del certificado.
• /t  Especifique un servidor de sello de tiempo compatible con Microsoft Authenticode.
• /tr Especifique un servidor de sello de tiempo confiable de conformidad con RFC 3161.

Procedimiento:

Puede ver el vídeo tutorial (en inglés) a continuación:

O puede revisar el paso a paso a continuación:

1. Para que su controlador se instale satisfactoriamente, se deben firmar los siguientes tipos de archivos en su proyecto:
   • .sys
   • .cat
2. Puede cerrar la sesión de estos archivos en un directorio de trabajo o colocarlos en la carpeta Windows SDK\bin.
3. Adquiera el Certificado Cruzado de Firma de Código de Microsoft para GlobalSign y colóquelo en su directorio de trabajo.
4. Use el siguiente comando signtool para firmar el código:
   
   signtool sign /ac MSCrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys
   
   Este código colocará una firma que incluye el certificado cruzado, que tiene una marca de tiempo de conformidad con RFC 3161.
5. A continuación, verifique su firma mediante el siguiente comando signtool.
   verify -v -kp

   -v es para una salida detallada y -kp la valida de acuerdo con los criterios de firma del controlador en modo kernel.

   El resultado debería verse así:

   
6. Repita el mismo proceso con el archivo .cat.
7. Una vez que se ha firmado el controlador, puede instalar el controlador firmado correctamente.
   Si el controlador está firmado correctamente, la pantalla de instalación se verá así (Windows 7):
   
   

Recursos adicionales:

Lista completa de comandos de SignTool:
http://msdn.microsoft.com/en-us/library/8s9b9yaz%28v=vs.110%29.aspx

Tutorial de firma de código en modo kernel:
http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx

Firmas digitales para módulos de kernel en Windows:
http://msdn.microsoft.com/en-us/library/windows/hardware/gg487332.aspx