Tanda Tangan Digital
Tanda tangan digital didasarkan pada teknologi infrastruktur kunci publik Microsoft, yang didasarkan pada Microsoft Authenticode yang dikombinasikan dengan infrastruktur otoritas sertifikasi tepercaya (CA). Authenticode, yang didasarkan pada standar industri, memungkinkan vendor, atau penerbit perangkat lunak, untuk menandatangani file atau kumpulan file (seperti paket driver) dengan menggunakan sertifikat digital penandatanganan kode yang dikeluarkan oleh CA.
Windows menggunakan tanda tangan digital yang valid untuk memverifikasi hal berikut:
File, atau kumpulan file, ditandatangani.
Penanda tangan tepercaya.
Otoritas sertifikasi yang mengautentikasi penanda tangan tepercaya.
Kumpulan file tidak diubah setelah diterbitkan.
Misalnya, proses penandatanganan untuk paket driver ini melibatkan hal berikut:
Penerbit mendapatkan sertifikat digital X.509 dari CA. Sertifikat Authenticode juga disebut sebagai sertifikat penandatanganan. Sertifikat penandatanganan adalah sekumpulan data yang mengidentifikasi penerbit, dan dikeluarkan oleh CA hanya setelah CA memverifikasi identitas penerbit. CA dapat berupa CA Microsoft, CA komersial pihak ketiga, atau CA Perusahaan.
Sertifikat penandatanganan digunakan untuk menandatangani file katalog paket driver atau untuk menyematkan tanda tangan dalam file driver. Sertifikat yang mengidentifikasi penerbit tepercaya dan CA tepercaya diinstal di penyimpanan sertifikat yang dikelola oleh Windows.
Sertifikat penandatanganan mencakup kunci privat dan kunci umum, yang dikenal sebagai pasangan kunci. Kunci privat digunakan untuk menandatangani file katalog paket driver atau untuk menyematkan tanda tangan dalam file driver. Kunci umum digunakan untuk memverifikasi tanda tangan file katalog paket driver atau tanda tangan yang disematkan dalam file driver.
Untuk menandatangani file katalog atau menyematkan tanda tangan dalam file, proses penandatanganan terlebih dahulu menghasilkan hash kriptografi, atau thumbprint, file. Proses penandatanganan kemudian mengenkripsi thumbprint file dengan kunci privat dan menambahkan thumbprint ke file.
Proses penandatanganan juga menambahkan informasi tentang penerbit dan CA yang mengeluarkan sertifikat penandatanganan. Tanda tangan digital ditambahkan ke file di bagian file yang tidak diproses ketika thumbprint file dihasilkan.
Untuk memverifikasi tanda tangan digital file, Windows mengekstrak informasi tentang penerbit dan CA dan menggunakan kunci publik untuk mendekripsi thumbprint file terenkripsi.
Windows menerima integritas file dan keaslian penerbit hanya jika berikut ini benar:
- Thumbprint yang didekripsi cocok dengan thumbprint file.
- Sertifikat penerbit diinstal di penyimpanan sertifikat Penerbit Tepercaya.
- Sertifikat akar CA yang menerbitkan sertifikat penerbit diinstal di penyimpanan sertifikat Otoritas Sertifikasi Akar Tepercaya.
Untuk informasi selengkapnya tentang bagaimana penginstalan perangkat Plug and Play (PnP) menggunakan tanda tangan digital file katalogpaket driver, lihat Tanda Tangan Digital dan Penginstalan Perangkat PnP.
Untuk informasi selengkapnya tentang teknologi infrastruktur kunci publik Microsoft, penandatanganan kode, dan tanda tangan digital, lihat Pengenalan Praktik Terbaik Penandatanganan Kode dan Penandatanganan Kode.