Firmas digitales

Las firmas digitales se basan en la tecnología de infraestructura de clave pública de Microsoft, que se basa en Microsoft Authenticode junto con una infraestructura de entidades de certificación (CA) de confianza. Authenticode, que se basa en estándares del sector, permite a los proveedores o editores de software firmar un archivo o una colección de archivos (como un paquete de controladores) mediante un certificado digital de firma de código emitido por una ENTIDAD de certificación.

Windows usa una firma digital válida para comprobar lo siguiente:

• El archivo, o la colección de archivos, está firmado.

• El firmante es de confianza.

• La entidad de certificación que ha autenticado el firmante es de confianza.

• La colección de archivos no se modificó después de su publicación.

Por ejemplo, este proceso de firma para un paquete de controladores implica lo siguiente:

• Un publicador obtiene un certificado digital X.509 de una ENTIDAD de certificación. Un certificado Authenticode también se conoce como certificado de firma. Un certificado de firma es un conjunto de datos que identifica a un publicador y lo emite una ENTIDAD de certificación solo después de que la ENTIDAD de certificación haya comprobado la identidad del publicador. Una ENTIDAD de certificación puede ser una CA de Microsoft, una CA comercial de terceros o una CA empresarial.

  El certificado de firma se usa para firmar el archivo de catálogo de un paquete de controladores o para insertar una firma en un archivo de controlador. Los certificados que identifican editores de confianza y CA de confianza se instalan en almacenes de certificados mantenidos por Windows.

• El certificado de firma incluye una clave privada y una clave pública, que se conoce como el par de claves. La clave privada se usa para firmar el archivo de catálogo de un paquete de controladores o para insertar una firma en un archivo de controlador. La clave pública se usa para comprobar la firma del archivo de catálogo de un paquete de controladores o una firma incrustada en un archivo de controlador.

• Para firmar un archivo de catálogo o para insertar una firma en un archivo, el proceso de firma genera primero un hash criptográfico o una huella digital del archivo. A continuación, el proceso de firma cifra la huella digital del archivo con una clave privada y agrega la huella digital al archivo.

  El proceso de firma también agrega información sobre el publicador y la ENTIDAD de certificación que emitió el certificado de firma. La firma digital se agrega al archivo en una sección del archivo que no se procesa cuando se genera la huella digital del archivo.

• Para comprobar la firma digital de un archivo, Windows extrae la información sobre el publicador y la ENTIDAD de certificación y usa la clave pública para descifrar la huella digital del archivo cifrado.

  Windows acepta la integridad del archivo y la autenticidad del publicador solo si se cumple lo siguiente:

  • La huella digital descifrada coincide con la huella digital del archivo.
  • El certificado del publicador se instala en el almacén de certificados de editores de confianza.
  • El certificado raíz de la ENTIDAD de certificación que emitió el certificado del publicador se instala en el almacén de certificados de entidades de certificación raíz de confianza.

Para obtener más información sobre cómo la instalación de dispositivos de Plug and Play (PnP) usa la firma digital del archivo de catálogode un paquete de controladores, consulte Firmas digitales y instalación de dispositivos PnP.

Para obtener más información sobre la tecnología de infraestructura de clave pública de Microsoft, la firma de código y las firmas digitales, consulte Introducción a la firma de código y los procedimientos recomendados de firma de código.