PE文件数字签名格式

Windows 平台
PE文件 数字签名格式

版本 1.0 — 2008年3月31日

摘要

Authenticode®是一种数字签名格式，它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据，并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。

这份文档不讨论如何签发/处理X.509证书，如何使用Windows SDK工具来签署二进制程序，如何部署代码签名基础设施，或者相关的Windows® API函数。这方面的相关信息可以查看在本文档最后的“资源”章节。

本资料应用于下列操作系统：
      Windows Server ® 2008
      Windows Vista®
      Windows Server 2003
      Windows® XP
      Windows 2000

这里引用和讨论的相关资源列于这份文档的结尾。

 

概览Overview

在PE文件中的可信代码数字签名是PKCS #7 签名块结构。该签名可以保证：

·         这份软件源于某个确定的软件发布者。

·         这份软件自从签署以来没有经过修改。

 

一份PKCS #7 签名块结构包含该PE文件的哈希值、通过软件发布者私匙创建的签名以及将软件发布者的签名密匙绑定到一个合法实体的X.509 v3证书。一份PKCS #7签名块可以包含以下可选信息：

·         关于软件发布者的描述

·         软件发布者的链接

·         可信代码签名的时间戳

签名时间戳由时间戳权威机构(TSA)生成，并且保证软件发布者所做的签名在这个时间戳之前已经存在。这个时间戳可以延长了这个签名的生命期，即便相关的签名证书已经过期或者后来被废除。

 

可信代码签名可以被嵌入到Windows的PE文件中，位于PE文件的 Optional Header Data Directories结构中 Certificate Table所指向的位置。当可信代码签名被用于签署一个Windows PE文件时，计算文件数字签名哈希值的算法略过PE文件结构中的特定字段。当把数字签名嵌入文件时，签名过程可以修改这些字段，而不致于影响文件的哈希值。

图1显示了一幅简单的PE文件全局图，它描述了数字签名是如何包含在PE文件中的。它包含了嵌入的可信代码数字签名和指出那些被略过计算PE文件哈希值的PE结构字段。

关于PE文件结构的细节，请参阅“Microsoft Portable Executable and Common Object File Format Specification”(PE/COFF specification)。

关于可信代码数字签名中PKCS #7部分的细节，请参阅本文档后面的Abstract Syntax Notation version 1 (ASN.1) 结构定义。

关于可信代码数字签名如何计算PE文件哈希值的细节，参阅本文档后面的“Calculating the PE Image Hash”。