Поддержка хэш-алгоритма подписи кода Windows
28 апр. 2025 г.
Поддержка хэш-алгоритма подписи кода Windows
Обзор
Хеш-алгоритмы используются для проверки целостности. С их помощью можно проверить, что в сертификате ничего не изменилось, что файл загружен правильно, что подписанный документ не был подделан, и многое другое. Хотя ваш сертификат подписи кода может быть подписан GlobalSign для проверки его целостности, при подписании кода вы также можете указать хэш-алгоритм, используемый при проверке цифровой подписи вашей программы или драйвера. Этот алгоритм называется файловым дайджестом (/fd).
В таблице ниже приведены различные сценарии подписи для Windows XP и Windows 10, а также подробно описано, какие сценарии поддерживаются, а какие не будут проверяться. Помимо поддержки родной операционной системы, здесь также учтена политика Microsoft в отношении устаревания SHA-1 и новые требования к подписи драйверов в Windows 10.
| SHA-1 Сертификат |
SHA-2 Сертификат |
EV Сертификат (Только SHA-2) |
|||||
| /fd sha1 | /fd sha256 | /fd sha1 | /fd sha256 | /fd sha1 | /fd sha256 | ||
| Windows XP | Режим пользователя | ✓ | ✗ | ✓ | ✗ | ✓ | ✗ |
| Режим ядра | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | |
| Windows Vista | Режим пользователя | ✓ | ✗ | ✓ | ✗ | ✓ | ✗ |
| Режим ядра | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | |
| Windows 7 | Режим пользователя | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Режим ядра | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Windows 8 | Режим пользователя | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Режим ядра | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Windows 10 | Режим пользователя | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Режим ядра | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ✗ | Не подтверждается. | ||
| ✓ | Проверяется успешно. | ||
| ✓ | Действителен, если подписан и проставлен до 01 января 2016 года. | ||
| ✓ | Действителен, если подписан и проставлен по времени до 29 июля 2015 года. После этого драйверы режима ядра для всех версий Windows должны быть подписаны на портале Windows Hardware Developer Center Dashboard Portal, для доступа к которому требуется сертификат EV Code Signing Certificate. | ||
| ✓ | Драйверы режима ядра для всех версий Windows должны быть подписаны на портале Windows Hardware Developer Center Dashboard Portal, для доступа к которому требуется сертификат EV Code Signing Certificate. |
Дополнительная информация
Любой драйвер, пользовательский или для режима ядра, представленный через портал Microsoft, требует сертификата EV Code Signing, независимо от того, какую операционную систему планирует поддерживать разработчик. Подписание через портал требуется только для драйверов режима ядра Windows 10 и необязательно для всех сценариев на предыдущих версиях Windows.
Если команда /fd не указана во время подписания, по умолчанию используется дайджест файла SHA1, даже если используется сертификат SHA-2.
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.