Все версии программы Обновлятор-1с, выпущенные после 11 декабря 2017 года подписываются электронной подписью разработчика.
Это стало возможным после того, как я (Милькин Владимир Владимирович, разработчик обновлятора) подтвердил свою личность в центре сертификации Comodo.
Процедура подтверждения моей личности включала нотариальное заверение различных документов, относящихся ко мне и моему имуществу, а также оплату стоимости сертификата (210$ за 3 года через ksoftware).
В результате центр сертификации Comodo выдал мне электронный сертификат, которым я теперь подписываю все исполняемые файлы обновлятора, а также сам установщик программы.
Почему это важно
Цифровая подпись на файле (при условии, что она действительна) гарантирует (при помощи криптографии и корневых центров сертификации, которые присутствуют в операционной системе изначально), что:
- этот файл был выпущен конкретным разработчиком
- этот файл не менялся (намеренно или случайно) после того был выпущен разработчиком
То есть наличие действительной цифровой подписи, например, на установщике обновлятора даёт нам уверенность, что этот установщик был создан разработчиком и никем не менялся после этого.
Отключение проверки цифровой подписи драйверов Windows 7 x64
Как использовать эту возможность
Установка обновлятора вручную
Этот способ подойдёт, если вы скачали установщик обновлятора вручную сайта или получили его из других источников.
В этом случае распакуйте полученный архив и откройте свойства файла «Setup.exe»:
Перейдите на закладку «Цифровые подписи», выделите любую из подписей и нажмите кнопку «Сведения»:
В открывшемся окне должно быть чётко указано, что эта цифровая подпись действительна:
Если это не так, значит файл Setup.exe был модифицирован уже после моего выпуска.
Если подпись действительна, нажмите кнопку «Просмотр сертификата» в этом же окне и перейдите на закладку «Состав»:
Информация о субъекте (кому выдан сертификат) должна совпадать с информацией на рисунке выше.
Наконец, перейдите на закладку «Путь сертификации»:
Она должна быть корректной (без зачёркивания) в каждом из узлов.
Установка новой версии из обновлятора
Если вы запускаете обновление обновлятора из самого обновлятора.
. то программа сама проверит корректность подписи у скачанного с сайта установщика:
Этот механизм гарантирует нам защиту от следующего вида атак злоумышленников, когда:
Отключение проверки цифровой подписи драйверов в Windows 7/8/10 (32bit/64bit)…
- пользователь устанавливает и использует какое-то время программу
- пользователь запускает обновление программы из интернета (ведь он уже пользуется этой программой и доверяет ей)
- злоумышленники тем временем взломали сайт программы и выложили вместо легального обновления — вирус или модифицированную в своих интересах версию программы
- пользователь устанавливает вирус или модифицированную версию программы и даже не подозревает об этом
Теперь с обновлятором даже гипотетически такой трюк становится невозможным. В случае такой атаки сайта обновлятор при попытке обновиться выдаст следующее сообщение:
Почему может не работать проверка цифровой подписи
Если проверка цифровой подписи дистрибутива или одного из файлов уже установленного обновлятора проходит с ошибкой.
Причиной этого, конечно, может быть и повреждение (изменение) этих файлов.
Но в 99.9% случаев причина в другом.
Вашей Windows скорее всего требуется обновление корневых сертификатов (они неполные или устарели). Ведь именно опираясь на них операционная система делает проверку моего собственного сертификата, выданного Comodo.
О том, как обновить корневые сертификаты Windows рассказывается здесь.
Как отключить проверку цифровой подписи
Внимание. Эта возможность может быть пока недоступна в вашей версии обновлятора.
Чтобы отключить проверку цифровой подписи установщика обновлятора, скачанного с сайта:
- зайдите в дополнительные настройки обновлятора
- перейдите на закладку «Системные настройки»
- установите галку «Не проверять цифровую подпись установщика обновлятора»
С уважением, Владимир Милькин (преподаватель школы 1С программистов и разработчик обновлятора).
Как помочь сайту: расскажите (кнопки поделиться ниже) о нём своим друзьям и коллегам. Сделайте это один раз и вы внесете существенный вклад в развитие сайта. На сайте нет рекламы, но чем больше людей им пользуются, тем больше сил у меня для его поддержки.
Нажмите одну из кнопок, чтобы поделиться:
Источник: helpme1s.ru
Как проверить подлинность файла, защищенного цифровой подписью
Скачивать программное обеспечение безопаснее всего с официальных сайтов разработчиков, но очень часто пользователи игнорируют это правило, предпочитая им сторонние сайты-каталоги. Это удобнее, но сопряжено с риском, поскольку каждый раз вы вынуждены доверять источнику, за подлинность которого не могут поручиться даже администраторы сайта. Если ресурс будет взломан, злоумышленники могут подменить часть выложенных на нём программ поддельными копиями с бэдкором или явно вредоносным кодом.
Внешне отличить поддельную программу от оригинала невозможно, гарантией подлинности не является даже контрольная сумма, поскольку и она может быть изменена злоумышленником на сайте-источнике. Удостоверением подлинности программы является цифровая подпись — криптографический метод с использованием связки закрытого и открытого ключей. Закрытый ключ используется для шифрования хэша файла, а открытый — для проверки подлинности этого самого зашифрованного хэша. Публичный ключ доступен всем, тогда как закрытый хранится только у владельца цифровой подписи.
Как проверить цифровую подпись файла
Сразу нужно сказать, что к методу защиты от подделки с помощью цифровых подписей прибегают далеко не все разработчики. Используется он в основном софтверными компаниями, специализирующимся на разработке драйверов, платежного программного обеспечения и т.п. Помимо контрольной суммы, на своем сайте использующий ЭЦП разработчик выкладывает еще и публичный ключ, необходимый для расшифровки цифровой подписи.
Предположим, вы скачали кошелек Bitcoin Core и хотите проверить его подлинность. На официальном сайте Bitcoin Core вам нужно скачать еще два файла — SHA256SUMS.asc по ссылке «Сверить контрольные суммы релизов» и ключ для подписи релизов laanwj-releases.asc соответствующей версии.
Также вам понадобится программа Gpg4win, предназначенная для шифрования файлов и электронных сообщений. Загрузить ее вы можете с официального сайта www.gpg4win.org/get-gpg4win.html.
Первый шаг заключается в сверении хэша исполняемого файла кошелка с контрольными суммами в файле SHA256SUMS.asc . Кликните ПКМ по проверяемому файлу и выберите в меню Другие параметры Gpg4win -> Создать контрольные суммы.
В результате вы получите файл sha256sum.txt с хэшем проверяемого приложения.
Откройте полученный текстовый файл и сравните хэш с контрольной суммой в файле SHA256SUMS.asc , скачанном с официального сайта приложения.
Если хэши совпадают, идем дальше.
Теперь проверим цифровую подпись. Она содержится в этом же SHA256SUMS.asc и начинается с BEGIN PGP SIGNATURE, смотрите этот скриншот.
Кликните правой кнопкой мыши по файлу SHA256SUMS.asc и выберите в меню «Расшифровать и проверить».
При этом вы получите сообщение, что подпись не может быть удостоверена. Нажмите либо «Искать», чтобы выполнить поиск публичного ключа на серверах, либо «Импорт», чтобы указать скачанный ключ laanwj-releases.asc .
В результате в окошке модуля Kleopatra появится имя предполагаемого владельца, выделите его и нажмите «Импорт».
Предложение заверить сертификат можно отклонить, нажав «Нет».
Готово, нажмите в окне программы «Журнал аудита».
И удостоверьтесь, что в журнале есть запись «Действительная подпись пользователя».
Если хотя бы один символ в сигнатуре окажется замененным, вы получите сообщение «Неверная подпись».
Здесь, наверное, у многих думающих пользователей возникнет вопрос, а что если взломанной окажется сама Gpg4win? Увы, тогда все описанные выше шаги окажутся бесполезными. Возможны и другие сценарии, например, заражение системы разработки с внедрением кода в ПО до подписания или кража сертификата, однако это вовсе не отменяет ценности описанного метода проверок подлинности, в любом случае он на порядок более эффективен, чем простое сверение хэша.
Источник: www.white-windows.ru
Как проверить цифровую подпись драйвера в Windows 7 и выше?
Цифровая подпись – это электронная метка безопасности, которая присутствует во многих файлах и предназначена для идентификации издателя этого же файла. Благодаря этой метке проверяется подлинность файла, а также его целостность.
В большинстве случаев цифровая подпись добавляется к драйверам, так как любое программное обеспечение вносит изменения в настройки системы и отвечает за работоспособность компонентов ПК. Компания Microsoft ведет список проверенных издателей на предмет совместимости их продуктов с версией Windows.
В случае, если файл имеет некорректную цифровую подпись, то это может означать, что он опубликован ненадежным издателем или был изменен вирусом. Это видит система и запрещает его запускать. Таким образом, гарантируется безопасность системы.
Читайте на SoftikBox: Как удалить цифровую подпись файла?
Проверка цифровой подписи драйвера
Для того, чтобы цифровая подпись Windows была проверена, нужно выполнить несколько несложных действий:
- Жмём «Пуск». В поисковую строку вводим «sigverif.exe».
- Появится небольшое окно. Нажимаем на кнопку «Начать».
- Запуститься проверка драйвера.
В случае обнаружения установленных драйверов с некорректными цифровыми подписями, появится список. Его можно изучить, нажав на кнопку «Дополнительно», а далее «Просмотр журнала».
Внимательно изучаем файл.
В случае, если какой-то файл поврежден или опасен, то в журнале будет указана информация: название, путь к файлу. Его можно удалить или переустановить.
Источник: softikbox.com