Assinaturas digitais

As assinaturas digitais são baseadas na tecnologia de infraestrutura de chave pública da Microsoft, que se baseia no Microsoft Authenticode combinado com uma infraestrutura de ACs (autoridades de certificação) confiáveis. O Authenticode, que se baseia nos padrões do setor, permite que fornecedores ou fornecedores de software assinem um arquivo ou uma coleção de arquivos (como um pacote de driver) usando um certificado digital de assinatura de código emitido por uma AC.

O Windows usa uma assinatura digital válida para verificar o seguinte:

• O arquivo ou a coleção de arquivos é assinado.

• O signatário é confiável.

• A autoridade de certificação que autenticou o signatário é confiável.

• A coleção de arquivos não foi alterada após sua publicação.

Por exemplo, esse processo de assinatura para um pacote de driver envolve o seguinte:

• Um editor obtém um certificado digital X.509 de uma AC. Um certificado Authenticode também é chamado de certificado de autenticação. Um certificado de autenticação é um conjunto de dados que identifica um editor e é emitido por uma AC somente depois que a AC verifica a identidade do editor. Uma AC pode ser uma AC da Microsoft, uma AC comercial de terceiros ou uma AC corporativa.

  O certificado de autenticação é usado para assinar o arquivo de catálogo de um pacote de driver ou para inserir uma assinatura em um arquivo de driver. Certificados que identificam editores confiáveis e ACs confiáveis são instalados em repositórios de certificados mantidos pelo Windows.

• O certificado de assinatura inclui uma chave privada e uma chave pública, que é conhecida como o par de chaves. A chave privada é usada para assinar o arquivo de catálogo de um pacote de driver ou para inserir uma assinatura em um arquivo de driver. A chave pública é usada para verificar a assinatura do arquivo de catálogo de um pacote de driver ou uma assinatura inserida em um arquivo de driver.

• Para assinar um arquivo de catálogo ou inserir uma assinatura em um arquivo, o processo de assinatura primeiro gera um hash criptográfico, ou impressão digital, do arquivo. O processo de assinatura criptografa a impressão digital do arquivo com uma chave privada e adiciona a impressão digital ao arquivo.

  O processo de assinatura também adiciona informações sobre o publicador e a AC que emitiu o certificado de autenticação. A assinatura digital é adicionada ao arquivo em uma seção do arquivo que não é processada quando a impressão digital do arquivo é gerada.

• Para verificar a assinatura digital de um arquivo, o Windows extrai as informações sobre o editor e a AC e usa a chave pública para descriptografar a impressão digital do arquivo criptografado.

  O Windows aceita a integridade do arquivo e a autenticidade do editor somente se o seguinte for verdadeiro:

  • A impressão digital descriptografada corresponde à impressão digital do arquivo.
  • O certificado do publicador é instalado no repositório de certificados de Fornecedores Confiáveis.
  • O certificado raiz da AC que emitiu o certificado do editor é instalado no repositório de certificados autoridades de certificação raiz confiáveis.

Para obter mais informações sobre como a instalação do dispositivo PnP (Plug and Play) usa a assinatura digital do arquivo decatálogo de um pacote de driver, consulte Assinaturas Digitais e Instalação de Dispositivo PnP.

Para obter mais informações sobre tecnologia de infraestrutura de chave pública da Microsoft, assinatura de código e assinaturas digitais, consulte Introdução àspráticas recomendadas de assinatura de código e assinatura de código.