Udostępnij przez

Odwołanie certyfikatu OPM

Certyfikat menedżera ochrony danych wyjściowych (OPM) można odwołać przez firmę Microsoft. Lista odwołanych certyfikatów jest przechowywana na globalnej liście odwołania (GRL). Lista GRL ma następujący format:

Sekcja Opis
Nagłówek Struktura GRL_HEADER.
Rdzeń Zawiera następujące listy odwołania:
  • Odwołania binarne jądra
  • Odwołania binarne trybu użytkownika
  • Odwołania certyfikatów
  • Zaufane korzenie (zarezerwowane)
Lista zaufanych katalogów głównych nie jest obecnie używana i jest zarezerwowana do użytku w przyszłości.
Rozszerzalne wpisy Zawiera informacje używane przez inne składniki. Ta sekcja nie jest istotna dla platformy OPM.
Odnowienia: Zawiera identyfikatory GUID definiujące identyfikatory usługi Windows Update. Ta sekcja zawiera identyfikatory następujących list:
  • Odwołania binarne jądra
  • Odwołania binarne trybu użytkownika
  • Odwołania certyfikatów
Aplikacja może użyć tych identyfikatorów, aby zażądać odnowionej wersji odwołanego pliku binarnego, jeśli jest dostępny.
Podpis: sekcja podstawowa Podpisuje nagłówki i sekcje podstawowe.
Podpis: sekcja rozszerzalna Podpisuje nagłówek i rozszerzalne sekcje.

 

Nagłówek listy GRL jest strukturą GRL_HEADER. Element członkowski dwSequenceNumber struktury zawiera numer wersji listy GRL. Ta liczba jest zwiększana za każdym razem, gdy lista GRL zostanie zaktualizowana i nowa wersja umieszczona na komputerze użytkownika.

Odwołane certyfikaty OPM są wymienione na liście odwołania certyfikatów w sekcji Core. Każdy wpis Core w GRL to tablica 20 bajtów zawierająca skrót SHA-1 klucza publicznego odwołanego certyfikatu.

Sekcje Podpis zawierają podpisy, których można użyć do sprawdzenia, czy lista GRL nie została naruszona. Każda sekcja Podpis zawiera strukturę MF_SIGNATURE. Pierwszy podpis podpis podpisuje nagłówek oraz sekcję Core. Drugi podpis podpis podpisuje nagłówek oraz sekcję Rozszerzalną; ten podpis nie jest istotny dla programu OPM.

Aby upewnić się, że sama lista GRL nie została naruszona, sprawdź podpis w następujący sposób:

  1. Znajdź początek struktury MF_SIGNATURE. Lokalizacja struktury MF_SIGNATURE jest podana w cbSignatureCoreOffset składowej struktury GRL_HEADER. Lokalizacja jest określana jako przesunięcie w bajtach od początku listy GRL.
  2. Przeanalizuj strukturę MF_SIGNATURE jako podpis PKCS #7 z łańcuchem certyfikatów.
  3. Zweryfikuj łańcuch certyfikatów do zaufanego katalogu głównego.
  4. Sprawdź, czy certyfikat liścia ma następujący identyfikator obiektu w module EKU: "1.3.6.1.4.1.311.10.5.4".
  5. Oblicz skrót bajtów, które zawierają nagłówek i podstawowe sekcje listy GRL.
  6. Sprawdź, czy skrót jest zgodny z podpisem w certyfikacie liścia.

programu Output Protection Manager

GRL_HEADER

MF_SIGNATURE

 

 

  • Last updated on