Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 14
Да это какие-то мусорные сертификаты, которые безболезненно можно отозвать.
Драйверы подписываются отдельными сертификатами, а приложения Nvidia должна подписывать EV сертификатом, ключ которого на токене хранится.
Я так понимаю, nvidia может просто отозвать сертификаты, а чтобы это проделать относительно безболезненно – им надо собрать по своим архивам пачку подписанных ими драйверов, переподписать, перепаковать и выложить (у себя и отдать ms для автоматической установки/обновления)?
Один сертификат истёк в 2014, думаю, пользователи этого легаси сидят на всяких Windows 7 и никаких обновлённых драйверов не получат.
Тем проще.
Интересно, отзыв сертификата отразится на уже установленных дровах? Если нет – то совсем просто)
Что проще? Пользователям 7-ки придётся закрывать системе доступ к серверам с CRL, чтобы система не превратилась в тыкву, т.к. обновить драйвер нет возможности.
Интересно, отзыв сертификата отразится на уже установленных дровах? Если нет – то совсем просто)Да, конечно. Иначе была бы огромная дыра с подменой файла драйвера после установки.
Если NVIDIA выпустит драйверы под эти системы, то не страшно, можно и вручную установить. Мои сомнения скорее относятся к тому, что через Windows Update эти системы что-то получат.
CRL для драйверов семёрка тянет не оттуда же, откуда апдейты? (т.е. уже ниоткуда)?
Лучше бы глянуть, как на самом деле сделано. А то я вижу как минимум один способ и избежать этой дыры, и не стирать драйвера при отзыве сертификата. А может, дыра просто есть. В конце концов, если отключить проверку и поставить неподписанный драйвер – при включении проверки он не удаляется (емнип на 10-ке это штатный способ ставить драйвер для USBASP).
URL CRL по стандарту включен внутрь сертификата. Но как Windows работает с ними — неизвестно.
magnet:?xt=urn:btih:dc718539145bde27dddb5e94c67949e6d1c8513c&dn=integdev_gpu_drv.rar&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80&tr=udp%3a%2f%2ftracker.opentrackr.org%3a1337%2fannounce
Там не только легаси ОС, но и железо. Полно работающих чипов, обновления для которых Нвидиа забросила с появлением 10хх. Поэтому многие сидят на старых версиях драйверов, либо, в случае десятки, на встроенных в Винду драйверах. Сертификаты на которые тоже бог знает когда обновлялись...
Подтверждаю, сертификаты рабочие и удалось, например, подписать драйвер VFD.
Интересно, в свойствах файла «Дата подписи» — сегодняшняя, или соответствует периоду действия сертификата? Было бы разумно отбрасывать подписи, созданные вне периода действия, но с другой стороны Signature Tool может это учитывать и ставить старую дату…
Скрытый текст
Отметка времени ставится с использованием внешнего сервера. Поэтому подделать дату не выйдет, если только не поднять свой сервер и не сделать его доверенным с точки зрения системы.
С другой стороны, он вообще необязателен, Windows принимает драйверы, подписанные без отметки времени.
С другой стороны, он вообще необязателен, Windows принимает драйверы, подписанные без отметки времени.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Создатели вредоносного ПО начали подписывать зловреды украденными сертификатами Code Signing NVIDIA