Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Digitale Signaturen basieren auf der Microsoft Public Key-Infrastrukturtechnologie, die auf Microsoft Authenticode basiert, kombiniert mit einer Infrastruktur vertrauenswürdiger Zertifizierungsstellen (CAs). Authenticode, die auf Branchenstandards basiert, ermöglicht es Anbietern oder Software-Herausgebern, entweder eine Datei oder eine Sammlung von Dateien (z. B. ein Treiberpaket) mithilfe eines von einer Zertifizierungsstelle ausgestellten digitalen Codesignaturzertifikats zu signieren.
Windows verwendet eine gültige digitale Signatur, um Folgendes zu überprüfen:
Die Datei oder die Sammlung von Dateien ist signiert.
Der Signierer ist vertrauenswürdig.
Die Zertifizierungsstelle, die den Signierer authentifiziert hat, ist vertrauenswürdig.
Die Sammlung von Dateien wurde nach der Veröffentlichung nicht geändert.
Dieser Signaturprozess für ein Treiberpaket umfasst beispielsweise Folgendes:
Ein Herausgeber erhält ein digitales X.509-Zertifikat von einer Zertifizierungsstelle. Ein Authenticode-Zertifikat wird auch als Signaturzertifikat bezeichnet. Ein Signaturzertifikat ist eine Reihe von Daten, die einen Herausgeber identifizieren und von einer Zertifizierungsstelle ausgestellt werden, nachdem die Zertifizierungsstelle die Identität des Herausgebers überprüft hat. Eine Zertifizierungsstelle kann eine Microsoft-Zertifizierungsstelle, eine kommerzielle Zertifizierungsstelle eines Drittanbieters oder eine Unternehmenszertifizierungsstelle sein.
Das Signaturzertifikat wird verwendet, um die Katalogdatei eines Treiberpakets zu signieren oder eine Signatur in eine Treiberdatei einzubetten. Zertifikate, die vertrauenswürdige Herausgeber und vertrauenswürdige Zertifizierungsstellen identifizieren, werden in Zertifikatspeichern installiert, die von Windows verwaltet werden.
Das Signaturzertifikat enthält einen privaten Schlüssel und einen öffentlichen Schlüssel, der als Schlüsselpaar bezeichnet wird. Der private Schlüssel wird verwendet, um die Katalogdatei eines Treiberpakets zu signieren oder eine Signatur in eine Treiberdatei einzubetten. Der öffentliche Schlüssel wird verwendet, um die Signatur der Katalogdatei eines Treiberpakets oder eine Signatur zu überprüfen, die in eine Treiberdatei eingebettet ist.
Um eine Katalogdatei zu signieren oder eine Signatur in eine Datei einzubetten, generiert der Signaturvorgang zunächst einen kryptografischen Hash oder Fingerabdruck der Datei. Der Signiervorgang verschlüsselt dann den Dateifingerabdruck mit einem privaten Schlüssel und fügt den Fingerabdruck der Datei hinzu.
Der Signierungsprozess fügt außerdem Informationen zum Herausgeber und zur Zertifizierungsstelle hinzu, die das Signaturzertifikat ausgestellt hat. Die digitale Signatur wird der Datei in einem Abschnitt der Datei hinzugefügt, der beim Generieren des Dateifingerabdrucks nicht verarbeitet wird.
Um die digitale Signatur einer Datei zu überprüfen, extrahiert Windows die Informationen über den Herausgeber und die Zertifizierungsstelle und verwendet den öffentlichen Schlüssel, um den verschlüsselten Dateifingerabdruck zu entschlüsseln.
Windows akzeptiert die Integrität der Datei und die Authentizität des Herausgebers nur, wenn Folgendes zutrifft:
- Der entschlüsselte Fingerabdruck entspricht dem Fingerabdruck der Datei.
- Das Zertifikat des Herausgebers wird im Zertifikatspeicher für vertrauenswürdige Herausgeber installiert.
- Das Stammzertifikat der Zertifizierungsstelle, die das Zertifikat des Herausgebers ausgestellt hat, wird im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen installiert.
Weitere Informationen dazu, wie die Plug and Play -Geräteinstallation (PnP) die digitale Signatur der Katalogdatei eines Treiberpakets verwendet, finden Sie unter "Digitale Signaturen" und "PnP-Geräteinstallation".
Weitere Informationen zu Microsoft Public Key-Infrastrukturtechnologie, Codesignatur und digitalen Signaturen finden Sie in Einführung in die Codesignierung und Bewährte Methoden zur Codesignierung.