다음을 통해 공유


디지털 서명

디지털 서명은 신뢰할 수 있는 CA(인증 기관) 인프라와 결합된 Microsoft Authenticode 를 기반으로 하는 Microsoft 공개 키 인프라 기술을 기반으로 합니다. 업계 표준을 기반으로 하는 Authenticode를 사용하면 공급업체 또는 소프트웨어 게시자가 CA에서 발급한 코드 서명 디지털 인증서를 사용하여 파일 또는 파일 컬렉션(예: 드라이버 패키지)에 서명할 수 있습니다.

Windows는 유효한 디지털 서명을 사용하여 다음을 확인합니다.

  • 파일 또는 파일 컬렉션이 서명됩니다.

  • 서명자를 신뢰할 수 있습니다.

  • 서명자를 인증한 인증 기관은 신뢰할 수 있습니다.

  • 파일 컬렉션이 게시된 후 변경되지 않았습니다.

예를 들어 드라이버 패키지 에 대한 이 서명 프로세스에는 다음이 포함됩니다.

  • 게시자는 CA에서 X.509 디지털 인증서 를 가져옵니다. Authenticode 인증서를 서명 인증서라고도 합니다. 서명 인증서는 게시자를 식별하는 데이터 집합이며 CA가 게시자의 ID를 확인한 후에만 CA에서 발급합니다. CA는 Microsoft CA, 타사 상용 CA 또는 엔터프라이즈 CA일 수 있습니다.

    서명 인증서는 드라이버 패키지의 카탈로그 파일에 서명하거나 드라이버 파일에 서명을 포함하는 데 사용됩니다. 신뢰할 수 있는 게시자와 신뢰할 수 있는 CA를 식별하는 인증서는 Windows에서 유지 관리하는 인증서 저장소 에 설치됩니다.

  • 서명 인증서에는 프라이빗 키와 키 쌍이라고 하는 공개 키가 포함됩니다. 프라이빗 키는 드라이버 패키지 의 카탈로그 파일에 서명하거나 드라이버 파일에 서명을 포함하는 데 사용됩니다. 공개 키는 드라이버 패키지의 카탈로그 파일 또는 드라이버 파일에 포함된 서명의 서명을 확인하는 데 사용됩니다.

  • 카탈로그 파일에 서명하거나 파일에 서명을 포함하기 위해 서명 프로세스는 먼저 파일의 암호화 해시 또는 지문을 생성합니다. 그런 다음 서명 프로세스는 프라이빗 키로 파일 지문을 암호화하고 파일에 지문을 추가합니다.

    서명 프로세스는 서명 인증서를 발급한 게시자 및 CA에 대한 정보도 추가합니다. 디지털 서명은 파일 지문이 생성될 때 처리되지 않는 파일의 섹션에 있는 파일에 추가됩니다.

  • 파일의 디지털 서명을 확인하기 위해 Windows는 게시자와 CA에 대한 정보를 추출하고 공개 키를 사용하여 암호화된 파일 지문의 암호를 해독합니다.

    Windows는 다음이 true인 경우에만 파일의 무결성과 게시자의 신뢰성을 허용합니다.

PnP(플러그 앤 플레이) 디바이스 설치에서 드라이버 패키지카탈로그 파일의 디지털 서명을 사용하는 방법에 대한 자세한 내용은 디지털 서명 및 PnP 디바이스 설치를 참조하세요.

Microsoft 공개 키 인프라 기술, 코드 서명 및 디지털 서명에 대한 자세한 내용은 코드 서명 및 코드 서명 모범 사례소개를 참조하세요.