วิธีการลงชื่อไดรเวอร์ใน Windows ทีละขั้นตอน

การลงนามไดรเวอร์ใน Windows อาจดูเหมือนเป็นสิ่งที่นักพัฒนาขั้นสูงเท่านั้นที่ทำได้ แต่ถ้าคุณทำงานกับ... อุปกรณ์ ไดรเวอร์แบบกำหนดเอง หรือสภาพแวดล้อมการทดสอบไม่ช้าก็เร็ว คุณจะต้องเจอกับข้อกำหนดนี้ ในระบบสมัยใหม่ โดยเฉพาะระบบ 64 บิต Windows จะไม่เชื่อถือไฟล์ไบนารีใดๆ ที่พยายามแทรกซึมเข้าไปในเคอร์เนลอีกต่อไป มันต้องการลายเซ็นดิจิทัลที่ถูกต้อง อัลกอริทึมที่ทันสมัย ​​เช่น SHA2 และในหลายกรณี การรับรองจาก Microsoft ด้วย

ในบรรทัดต่อไปนี้ เราจะมาพิจารณาอย่างละเอียดว่า การลงนามในคอนโทรลเลอร์หมายความว่าอย่างไร และมีความแตกต่างอย่างไรบ้าง โหมดเคอร์เนลและโหมดผู้ใช้ผลกระทบต่อ Windows 7, 8, 8.1 และ 10 แบบ 64 บิต บทบาทของเครื่องมือต่างๆ เช่น SignTool หรือ Visual Studio และตัวเลือกที่คุณมีสำหรับทั้งสภาพแวดล้อมการพัฒนา (ใบรับรองทดสอบหรือใบรับรองที่ลงนามด้วยตนเอง) และการเผยแพร่สู่สาธารณะด้วยใบรับรองที่ออกโดยหน่วยงานที่เชื่อถือได้

การลงชื่อเข้าใช้ไดรเวอร์ใน Windows คืออะไร และทำไมจึงเป็นสิ่งจำเป็น?

การลงชื่อเข้าใช้ไดรเวอร์ใน Windows เกี่ยวข้องกับการเชื่อมโยง ลายเซ็นดิจิทัลสำหรับแพ็คเกจไดรเวอร์ (ไฟล์ไบนารี, ไฟล์ INF, แคตตาล็อก ฯลฯ) เพื่อรับประกันสองสิ่ง: ว่าไม่มีใครแก้ไขไฟล์เหล่านั้นนับตั้งแต่สร้างขึ้น และว่าไฟล์เหล่านั้นมาจากผู้เผยแพร่ที่ระบุไว้จริง ๆ (ผู้ให้บริการซอฟต์แวร์หรือผู้ผลิต) ฮาร์ดแวร์).

ในทางปฏิบัติ ระหว่างการติดตั้งอุปกรณ์ Windows ลายเซ็นดิจิทัลเหล่านี้จะถูกใช้เพื่อ ตรวจสอบความสมบูรณ์ของบรรจุภัณฑ์ และข้อมูลประจำตัวของผู้เผยแพร่ หากมีสิ่งใดไม่ตรงกัน (ลายเซ็นเสียหาย ใบรับรองไม่น่าเชื่อถือ แฮชไม่ถูกต้อง ฯลฯ) ระบบจะแสดงคำเตือน บล็อกการติดตั้ง หรือปฏิเสธการโหลดไดรเวอร์โดยสิ้นเชิง

ตั้งแต่ Windows Vista 64 บิตเป็นต้นไป และโดยเฉพาะอย่างยิ่งใน Windows 7, 8, 8.1 และ 10 x64 นโยบายความปลอดภัยในโหมดเคอร์เนลนั้นชัดเจน: ไดรเวอร์ใด ๆ ที่จะทำงานในเคอร์เนลจะต้องได้รับการปกป้อง ต้องมีการลงนามอย่างถูกต้องมิเช่นนั้น ไดรเวอร์จะไม่โหลด อุปกรณ์อาจใช้งานไม่ได้ และอาจเกิดหน้าจอสีน้ำเงินขึ้นได้หากมีการบังคับโหลดไฟล์ไบนารีที่ไม่ถูกต้อง

เมื่อคุณตัดสินใจที่จะรับรองไดรเวอร์ของคุณกับ Microsoft คุณสามารถส่งไดรเวอร์นั้นเข้าสู่กระบวนการตรวจสอบความถูกต้องของ Windows Hardware Quality Labs (WHQL) ได้ หากแพ็กเกจไดรเวอร์ผ่านการทดสอบการรับรอง Microsoft ก็จะให้การรับรอง ลายเซ็นอย่างเป็นทางการของ WHQLสิ่งนี้ไม่เพียงแต่ช่วยเพิ่มความน่าเชื่อถือและความเข้ากันได้ แต่ยังช่วยให้คุณสามารถเผยแพร่ไดรเวอร์ผ่านช่องทางต่างๆ ได้อีกด้วย windows Update และช่องทางการจัดจำหน่ายอื่นๆ ที่ได้รับการสนับสนุนจาก Microsoft

สิ่งสำคัญที่ควรทราบคือ ตั้งแต่ Windows 10 เวอร์ชัน 1507 เป็นต้นไป ไดรเวอร์ทั้งหมดที่ลงนามผ่านศูนย์พัฒนาฮาร์ดแวร์ของ Microsoft จะถูกลงนามโดยใช้ SHA2 เป็นอัลกอริธึมแฮชSHA1 ล้าสมัยไปแล้วสำหรับสถานการณ์เหล่านี้ และการใช้ใบรับรองเก่าร่วมกันอาจก่อให้เกิดปัญหา โดยเฉพาะในระบบรุ่นใหม่ๆ

ความแตกต่างระหว่างการลงนามไดรเวอร์ในโหมดเคอร์เนลและโหมดผู้ใช้

ระบบปฏิบัติการ Windows รองรับไดรเวอร์ที่ทำงานใน โหมดเคอร์เนลและโหมดผู้ใช้นโยบายการลงนามไม่เหมือนกันเสียทีเดียวในทั้งสองสภาพแวดล้อม ถึงแม้ว่าโดยทั่วไปแล้วจะเข้มงวดมากขึ้นในแต่ละเวอร์ชันใหม่ของระบบปฏิบัติการก็ตาม

ไดรเวอร์โหมดเคอร์เนลมีความอ่อนไหวมากที่สุด เนื่องจากทำงานในเคอร์เนลของระบบและมีสิทธิ์เข้าถึงหน่วยความจำและฮาร์ดแวร์ในระดับพิเศษ ใน Windows Vista เวอร์ชัน 64 บิตและเวอร์ชันต่อมา ไดรเวอร์เหล่านี้ เอกสารเหล่านี้ต้องลงนาม เพื่อให้สามารถเรียกเก็บเงินได้ ข้อจำกัดนี้เกี่ยวข้องโดยตรงกับเสถียรภาพของระบบและการป้องกัน มัลแวร์ ซึ่งพยายามฉีดเข้าไปในระดับต่ำ

ในทางกลับกัน ไดรเวอร์ที่ทำงานในโหมดผู้ใช้ (เช่น ไดรเวอร์เครื่องพิมพ์และส่วนประกอบเพิ่มเติมจำนวนมาก) เดิมทีไม่ได้อยู่ภายใต้ข้อบังคับที่เข้มงวดเช่นนั้น อันที่จริง ใน Windows เวอร์ชันเก่าๆ มันไม่ใช่ข้อกำหนดที่จำเป็นอย่างเด็ดขาด ไดรเวอร์เหล่านี้จำเป็นต้องได้รับการลงนาม อย่างไรก็ตาม ไมโครซอฟต์แนะนำให้ลงนามไดรเวอร์เหล่านี้มาโดยตลอดด้วยเหตุผลด้านความปลอดภัย และตั้งแต่ Windows 8 เป็นต้นมา มีสถานการณ์ที่การลงนามเป็นสิ่งจำเป็นสำหรับไดรเวอร์ผู้ใช้บางประเภท

ตัวอย่างทั่วไป: ไดรเวอร์เครื่องพิมพ์ที่ติดตั้งบนคอมพิวเตอร์ x64 โดยปกติจะแสดงกล่องโต้ตอบระหว่างกระบวนการติดตั้งเพื่อขอการยืนยันจากผู้ใช้ ในทางปฏิบัติ แพ็กเกจนั้น ต้องมีการลงนามอย่างถูกต้อง เพื่อให้การติดตั้งสามารถดำเนินต่อไปได้โดยไม่มีปัญหาติดขัดหรือการแจ้งเตือนด้านความปลอดภัยที่สำคัญ

โดยทั่วไปแล้ว แม้ว่าข้อกำหนดนี้จะไม่ใช่ข้อกำหนดสากลในโหมดผู้ใช้ แต่ Microsoft ก็กำลังผลักดันให้มีการใช้ข้อกำหนดนี้มากขึ้นเรื่อยๆ ซอฟต์แวร์ที่เกี่ยวข้องกับไดรเวอร์ทั้งหมดต้องได้รับการลงนามการลงนามในเอกสารเหล่านี้ช่วยให้สามารถตรวจสอบผู้สร้างเอกสารได้อย่างน่าเชื่อถือ ตรวจจับการดัดแปลง และลดความเสี่ยงที่ส่วนประกอบที่เป็นอันตรายจะแทรกซึมเข้ามาโดยปลอมตัวเป็นตัวควบคุมที่ถูกต้องตามกฎหมาย

ข้อกำหนดด้านลายเซ็นและอัลกอริธึม SHA ใน Windows เวอร์ชันต่างๆ

หนึ่งในประเด็นที่ยุ่งยากที่สุดคือความเข้ากันได้ระหว่างเวอร์ชันของ Windows และอัลกอริธึมแฮช เช่น SHA1 และ SHA2นักพัฒนาหลายคนพบปัญหาว่าไดรเวอร์บางตัวใช้งานได้บนระบบหนึ่ง แต่ใช้งานไม่ได้บนอีกระบบหนึ่ง และสาเหตุส่วนใหญ่มาจากนโยบายการลงนามที่เปลี่ยนแปลงไป

ในระบบเก่า เช่น Windows 7 หรือ 8 แบบ 64 บิต การใช้งานใบรับรองและลายเซ็นดิจิทัลโดยใช้ SHA1 เป็นเรื่องปกติ แม้ว่า Microsoft จะเคยเตือนไว้แล้วว่า SHA1 มีข้อบกพร่องด้านความปลอดภัยเนื่องจากความก้าวหน้าในการพัฒนา Windows 8.1 และ 10 ทำให้ SHA2 กลายเป็นมาตรฐานสำหรับการตรวจสอบลายเซ็นโค้ดและไดรเวอร์

ในทางปฏิบัติ ผู้ผลิตบางรายเลือกที่จะลงนามไบนารีในโหมดเคอร์เนลโดยการฝังใบรับรองคู่ (SHA1 และ SHA2) ที่ออกโดยหน่วยงานอื่นที่ไม่ใช่ Microsoft ไบนารีที่ลงนามคู่เหล่านี้ ในบางกรณี ไม่สามารถโหลดได้ในเวอร์ชันก่อน Windows 10และในระบบ Windows 10 บางระบบ อาจทำให้เกิดปัญหาขัดข้องร้ายแรงหรือหน้าจอสีฟ้าได้

เพื่อแก้ไขปัญหาเหล่านี้ ไมโครซอฟต์ได้ออกแพทช์เฉพาะ เช่น การอัปเดต KB 3081436 การติดตั้งการอัปเดตนี้บนระบบที่ได้รับผลกระทบจะแก้ไขปัญหาความเข้ากันไม่ได้กับไดรเวอร์ที่ลงนามด้วย SHA2 บางตัว และแสดงรายการไดรเวอร์ที่เข้ากันไม่ได้ ค่าแฮช SHA อ้างอิง ในส่วน “ข้อมูลเพิ่มเติม – ข้อมูลแฮชไฟล์” ของบทความสนับสนุนดังกล่าว

หากคุณจะแจกจ่ายไดรเวอร์ที่ต้องใช้งานได้กับ Windows หลายเวอร์ชัน การตรวจสอบอย่างละเอียดจึงเป็นสิ่งสำคัญ ข้อกำหนดลายเซ็นต่อเวอร์ชัน ไมโครซอฟต์ได้อธิบายรายละเอียดไว้ โดยระบุว่าอัลกอริทึมใดบ้างที่ถูกต้อง การจัดการความเข้ากันได้กับเวอร์ชันเก่าเป็นอย่างไร และชุดลายเซ็นใดบ้างที่ได้รับการยอมรับอย่างเป็นทางการ (แคตตาล็อก ไบนารีที่ฝังอยู่ ใบรับรองข้ามแพลตฟอร์ม ฯลฯ)

การลงนามไดรเวอร์ในโหมดผู้ใช้: คำแนะนำและแหล่งข้อมูล

แม้ว่าเคอร์เนลจะได้รับความสนใจมากที่สุด แต่การลงนามไดรเวอร์ในโหมดผู้ใช้ก็สมควรได้รับความสนใจเช่นกัน ไมโครซอฟต์ไม่ได้บังคับใช้กฎนี้อย่างเข้มงวดตั้งแต่แรก แต่ก็เคยทำ... ขอแนะนำอย่างยิ่งให้รักษาความปลอดภัย ของระบบและสร้างความมั่นใจให้กับผู้ใช้งาน

โดยพื้นฐานแล้ว ลายเซ็นของไดรเวอร์ในโหมดผู้ใช้จะทำหน้าที่เหมือนกับในโหมดเคอร์เนล: ระบุผู้ให้บริการตัวควบคุม (ผู้ผลิต, ISV ฯลฯ) และยืนยันว่าแพ็กเกจไม่ได้ถูกแก้ไขนับตั้งแต่ได้รับการลงนาม เมื่อผู้ใช้ติดตั้ง เช่น เครื่องพิมพ์ที่มีไดรเวอร์โหมดผู้ใช้บนคอมพิวเตอร์ x64 ตัวช่วยติดตั้งอาจแสดงกล่องโต้ตอบถามว่าผู้เผยแพร่เชื่อถือได้หรือไม่ หากลายเซ็นถูกต้องและใบรับรองเป็นของหน่วยงานที่ได้รับการยอมรับ การติดตั้งจะราบรื่นขึ้นและมีคำเตือนน้อยลงมาก

ไมโครซอฟต์ได้จัดทำเอกสารและบทช่วยสอนหลายชุดที่เจาะลึกกระบวนการลงนาม โดยหลายส่วนได้รับการออกแบบมาสำหรับโหมดเคอร์เนล แต่ก็สามารถนำไปใช้กับโหมดผู้ใช้ได้เช่นกัน บทความหลักเกี่ยวกับเรื่องนี้ ลายเซ็นคนขับ และหัวข้อย่อย “วิธีการลงนามเวอร์ชันโมดูลเคอร์เนล” ภายในบทช่วยสอนการลงนามรหัสในโหมดเคอร์เนล เป็นจุดเริ่มต้นที่ดีสำหรับการทำความเข้าใจตรรกะทั่วไปของการลงนามรหัสใน Windows

นอกจากนี้ การติดตั้ง Windows Driver Kit (WDK) ยังมีไฟล์ช่วยเหลือชื่อ... ไฟล์ selfsign_readme.htmซึ่งอยู่ในไดเร็กทอรี ลงชื่อด้วยตนเองเอกสารนี้อธิบายวิธีการสร้างใบรับรองทดสอบและวิธีการใช้งานระหว่างการพัฒนา ซึ่งมีประโยชน์อย่างยิ่งเมื่อคุณยังไม่มีใบรับรองที่ออกโดยหน่วยงานรับรองรากที่เชื่อถือได้

โดยสรุปแล้ว แม้ว่าไดรเวอร์ในโหมดผู้ใช้จะสามารถทำงานได้โดยไม่ต้องมีลายเซ็นในบางสถานการณ์ แต่ก็ควรปฏิบัติต่อไดรเวอร์นั้นเสมือนว่าเป็นสิ่งที่จำเป็น เนื่องจากเหตุผลด้านความปลอดภัย ภาพลักษณ์ของแบรนด์ และความเข้ากันได้กับตัวช่วยติดตั้งของ Windows การเซ็นชื่อในใบขับขี่เป็นสิ่งที่สมเหตุสมผลที่สุด.

การลงนามไดรเวอร์โหมดเคอร์เนลใน Windows 7 และ 8 โดยใช้ SignTool

เมื่อทำงานกับ Windows 7 และ 8 แบบ 64 บิต หนึ่งในวิธีการที่พบบ่อยที่สุดในการลงนามไดรเวอร์โหมดเคอร์เนลคือการใช้เครื่องมือบรรทัดคำสั่ง คำสั่ง เครื่องมือเข้าสู่ระบบโปรแกรมนี้ซึ่งรวมอยู่ใน Windows SDK ช่วยให้คุณสามารถลงนามในไฟล์และตรวจสอบลายเซ็นที่มีอยู่ได้ และมีตัวเลือกมากมายให้เหมาะกับสถานการณ์ต่างๆ

ตัวเลือกที่สำคัญที่สุดบางส่วน คุณสมบัติของ SignTool มีดังต่อไปนี้:

• /เอซี: ระบุใบรับรองเพิ่มเติม เช่น ใบรับรองร่วมที่เชื่อมโยงใบรับรองของคุณกับหน่วยงานออกใบรับรองหลักที่เชื่อถือได้
• /f: ระบุไฟล์ที่มีใบรับรองการลงนาม (โดยปกติจะเป็นไฟล์ .pfx)
• /p: ระบุรหัสผ่านที่เชื่อมโยงกับใบรับรองการลงนามที่จัดเก็บไว้ในไฟล์ .pfx
• /fd: กำหนดอัลกอริธึมแฮชที่ใช้ในการสร้างลายเซ็นไฟล์ ตัวอย่างเช่น /fd sha256 เพื่อสร้างลายเซ็นโดยใช้ SHA256 (หากไม่ได้ระบุอะไรไว้ โดยปกติแล้ว SHA1 จะเป็นค่าเริ่มต้นในเวอร์ชันเก่ากว่า)
• /n «ชื่อทั่วไปของใบรับรอง»: ช่วยให้คุณสามารถเลือกใบรับรองเฉพาะจากที่เก็บใบรับรองของ Windows โดยอิงจากชื่อทั่วไป (CN) ของใบรับรองนั้น
• /t: ระบุเซิร์ฟเวอร์ประทับเวลาที่เข้ากันได้กับรูปแบบ Microsoft Authenticode
• /ตร: ระบุว่าเซิร์ฟเวอร์ประทับเวลาเป็นไปตามมาตรฐาน RFC 3161 ซึ่งเป็นมาตรฐานที่ทันสมัยกว่าและแนะนำสำหรับการใช้งานใหม่ๆ

เมื่อทำงานในโครงการพัฒนาไดรเวอร์ คุณจำเป็นต้องรู้ว่าไฟล์ใดบ้างที่ต้องได้รับการลงนาม ไดรเวอร์จะต้องได้รับการลงนามจึงจะสามารถติดตั้งได้อย่างถูกต้องบน Windows 7 หรือ 8 ไฟล์ไบนารีที่เกี่ยวข้องทั้งหมดของโครงการ (ตัวอย่างเช่น ไฟล์ .sys) และไฟล์แคตตาล็อก (.cat) ที่จัดกลุ่มไฟล์ต่างๆ ในแพ็กเกจ

คุณมีสองทางเลือกหลัก: คุณสามารถคัดลอกไฟล์เหล่านั้นไปยังไดเร็กทอรีทำงานที่มี SignTool หรือคัดลอกโดยตรงก็ได้ ย้ายไฟล์เหล่านั้นไปยังโฟลเดอร์ bin ของ Windows SDK จากนั้นเรียกใช้เครื่องมือจากที่นั่น สิ่งสำคัญคือคุณต้องมีทั้งไฟล์ไบนารีและใบรับรองที่คุณจะใช้ในการลงนามอยู่ในมือ

สถานการณ์ทั่วไปมักเกี่ยวข้องกับการขอรับใบรับรองการลงนามรหัสที่เหมาะสม ตัวอย่างเช่น ใบรับรอง “Microsoft Cross Certificate” ออกโดย GlobalSign หรือหน่วยงานที่เชื่อถือได้อื่นๆ คุณวางใบรับรองร่วม (CrossCert.crt) นั้นไว้ในไดเร็กทอรีการทำงานของคุณพร้อมกับใบรับรองการลงนามรหัสหลักของคุณ (เช่น CodeSign.pfx) และเรียกใช้คำสั่งที่คล้ายกับนี้:

signtool sign /ac CrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys

คำสั่งนี้จะสร้างลายเซ็นที่ รวมถึงการรับรองข้ามกลุ่ม และรับค่าเวลาจากเซิร์ฟเวอร์ RFC 3161 ของ GlobalSign ค่าเวลานี้มีความสำคัญมาก เพราะเป็นการพิสูจน์ว่าไฟล์นั้นได้รับการลงนามในวันที่ใบรับรองยังใช้งานได้ แม้ว่าใบรับรองจะหมดอายุในภายหลังก็ตาม

หลังจากลงนามในไฟล์แล้ว ก็ถึงเวลาตรวจสอบว่าทุกอย่างถูกต้อง โดยปกติจะทำได้โดยใช้คำสั่งตรวจสอบ เช่น:

signtool verify -v -kp filename.sys

ตัวเลือก -v มันบังคับให้แสดงผลลัพธ์โดยละเอียด โดยแสดงข้อมูลโดยละเอียดเกี่ยวกับห่วงโซ่ใบรับรอง และตัวเลือก -เคพี ระบบจะตรวจสอบลายเซ็นตามเกณฑ์การลงนามรหัสเฉพาะของไดรเวอร์โหมดเคอร์เนล หากทุกอย่างเป็นไปด้วยดี คุณจะเห็นผลลัพธ์ที่ระบุว่าลายเซ็นและห่วงโซ่ใบรับรองถูกต้อง

สุดท้ายนี้ขอแนะนำ ทำขั้นตอนการลงนามและการตรวจสอบซ้ำอีกครั้งโดยใช้ไฟล์ .cat ของแพ็กเกจ เมื่อทั้งไฟล์ไบนารีและแคตตาล็อกได้รับการลงนามอย่างถูกต้องแล้ว ไดรเวอร์สามารถติดตั้งบน Windows 7 และ 8 x64 ได้โดยไม่มีปัญหาด้านความปลอดภัย และในระหว่างวิซาร์ดการติดตั้ง ข้อมูลผู้เผยแพร่ที่เชื่อถือได้และหน้าต่างระบบมาตรฐานควรปรากฏขึ้น

เพื่อศึกษาลงลึกในทุกแง่มุมของเครื่องมือนี้ ไมโครซอฟต์ได้จัดทำเอกสารอ้างอิงคำสั่ง SignTool ที่ครอบคลุมไว้ รวมถึง... คู่มือเฉพาะสำหรับการลงนามรหัสในโหมดเคอร์เนล และเอกสารที่เกี่ยวข้องกับลายเซ็นดิจิทัลของโมดูลเคอร์เนลใน Windows แหล่งข้อมูลเหล่านี้อธิบายกรณีพิเศษ พารามิเตอร์ขั้นสูง และลักษณะเฉพาะของแต่ละเวอร์ชันของระบบ