Trusted Signing 신뢰 모델
이 문서에서는 신뢰 모델의 개념, 신뢰할 수 있는 서명이 제공하는 기본 신뢰 모델, 신뢰할 수 있는 서명이 지원하는 다양한 서명 시나리오에서 이를 사용하는 방법을 설명합니다.
신뢰 모델
신뢰 모델은 디지털 서명의 유효성을 검사하고 디지털 환경에서 통신 보안을 보장하기 위한 규칙과 메커니즘을 정의합니다. 신뢰 모델은 디지털 에코시스템의 엔터티 내에서 신뢰가 구축되고 유지되는 방식을 정의합니다.
Microsoft Windows 애플리케이션에 대한 공개적으로 신뢰할 수 있는 코드 서명과 같은 서명 소비자의 경우 신뢰 모델은 Microsoft 루트 인증서 프로그램의 일부인 CA(인증 기관)의 인증서가 있는 서명에 의존합니다. 이 때문에 신뢰할 수 있는 서명 신뢰 모델은 Windows에서 코드 서명을 사용하는 Windows Authenticode 서명 및 보안 기능(예: 스마트 앱 제어 및 Windows Defender 애플리케이션 제어)을 지원하도록 설계되었습니다.
신뢰할 수 있는 서명은 다양한 서명 사용(유효성 검사)을 지원하는 두 가지 기본 신뢰 모델을 제공합니다.
참고 항목
사용자가 할 수 있는 작업은 이 문서에 설명된 서명 시나리오에서 사용되는 신뢰 모델의 적용으로만 제한되지 않습니다. 신뢰할 수 있는 서명은 Windows 및 Authenticode 코드 서명 및 Windows용 애플리케이션 제어 기능을 지원하도록 설계되었습니다. Windows 이외의 다른 서명 및 신뢰 모델을 광범위하게 지원합니다.
공개 신뢰 모델
공개 신뢰는 신뢰할 수 있는 서명에서 제공되는 두 가지 신뢰 모델 중 하나로, 가장 많이 사용되는 모델입니다. 공개 신뢰 모델의 인증서는 Microsoft ID 검증 루트 인증 기관 2020에서 발급되며 Microsoft PKI Services 제3자 CPS(인증 업무 준칙)를 준수합니다. 이 루트 CA는 코드 서명 및 타임스탬프 지정을 위해 Microsoft 루트 인증서 프로그램과 같은 신뢰 당사자의 루트 인증서 프로그램에 포함됩니다.
신뢰할 수 있는 서명의 공개 신뢰 리소스는 다음 서명 시나리오 및 보안 기능을 지원하도록 설계되었습니다.
- Win32 앱 코드 서명
- Windows 11의 스마트 앱 제어
- /INTEGRITYCHECK PE(이식 가능 파일) 바이너리에 대한 강제 무결성 서명
- VBS(가상화 기반 보안) Enclave
공개적으로 공유하려는 아티팩트에 서명하려면 공개 신뢰를 사용하는 것이 좋습니다. 서명자는 검증된 법률 조직 또는 개인이어야 합니다.
참고 항목
신뢰할 수 있는 서명에는 공개 신뢰 컬렉션에 "테스트" 인증서 프로필에 대한 옵션이 포함되어 있지만 인증서는 공개적으로 신뢰되지 않습니다. 공개 신뢰 테스트 인증서 프로필은 내부 루프 개발/테스트 서명에 사용하기 위한 것이며 신뢰할 수 없습니다.
비공개 신뢰 모델
비공개 신뢰는 신뢰할 수 있는 서명에서 제공되는 두 번째 신뢰 모델입니다. 서명이 에코시스템 전반에 걸쳐 광범위하게 신뢰되지 않는 선택 신뢰를 위한 것입니다. 신뢰할 수 있는 서명 비공개 신뢰 리소스에 사용되는 CA 계층 구조는 루트 프로그램 및 Windows에서 기본적으로 신뢰되지 않습니다. 대신 다음을 비롯한 비즈니스용 앱 제어(이전의 Windows Defender 애플리케이션 제어, WDAC) 기능에 사용하도록 설계되었습니다.
- WDAC를 통한 추가 제어 및 보호를 위해 코드 서명 사용
- 서명된 정책을 사용하여 변조로부터 Windows Defender Application Control 보호
- 선택 사항: Windows Defender 애플리케이션 제어용 코드 서명 인증서 만들기
신뢰할 수 있는 서명 참조를 사용하여 WDAC 정책을 구성하고 서명하는 방법에 대한 자세한 내용은 신뢰할 수 있는 서명 빠른 시작을 참조하세요.