성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] A graphical depiction of the steps ...
[정성태] 질문을 주셔서 출판사 측에 문의를 했습니다. 약 한 달 정도 후...
[Thorondor
] @정성태 개인 블로그인데도 거의 커뮤니티 급 인 것 같아요. 요...
[정성태] Roll A Lisp In C - Reading ; https...
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>signtool.exe의 다중 서명 기능</h1> <p> SHA1 해시가 안전하지 않다고 해서 SHA2로 하고 싶을텐데요. 인증서로 코드 서명시 다음과 같은 명령을 주면 SHA256으로 해시 처리를 하게 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > <a target='_blank' href='https://docs.microsoft.com/ko-kr/dotnet/framework/tools/signtool-exe'>signtool</a> sign <span style='color: blue; font-weight: bold'>/fd SHA256</span> /v /sm /n "...[이름]..." /tr http://timestamp.geotrust.com/tsa c:\temp\MyTest.exe </pre> <br /> 조심해야 할 것은 서명 검증 시 윈도우 XP/Vista(2003, 2008)에서는 SHA2를 지원하지 않기 때문에 SHA256으로 서명된 바이너리를 해당 운영체제가 설치된 컴퓨터에 배포하면 다음과 같이 서명이 올바르지 않다고 판단하게 됩니다.<br /> <br /> <img alt='double_sign_1.png' src='/SysWebRes/bbs/double_sign_1.png' /><br /> <br /> 예를 들어, SHA256으로 서명한 ActiveX를 XP 컴퓨터에 배포하면 다음과 같이 서명을 검증할 수 없어 보안 경고가 발생하게 됩니다.<br /> <br /> <img alt='double_sign_2.png' src='/SysWebRes/bbs/double_sign_2.png' /><br /> <br /> 따라서 윈도우 비스타 이전의 컴퓨터에서도 구동해야 할 바이너리가 있다면 SHA1 방식으로 서명을 해줘야 합니다. 그런데, 여기서 고민이 생기는 군요. ^^ 그렇다면 코드 서명 때문에 바이너리를 2중으로 마련해 설치를 복잡하게 만들어야 하는 걸까요?<br /> <br /> 다행히... ^^ 이런 경우 signtool의 다중 서명 기능을 이용해서 SHA1, SHA2 방식을 모두 해주면 됩니다.<br /> <br /> 방법도 간단합니다. 우선 기본 서명으로 SHA1을 사용해 주고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > signtool sign /v /sm /n "...[이름]..." /t http://timestamp.verisign.com/scripts/timestamp.dll c:\temp\MyTest.exe </pre> <br /> 이어서 /as 옵션을 이용해 추가 서명을 하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > signtool sign <span style='color: blue; font-weight: bold'>/as</span> /fd SHA256 /v /sm /n "...[이름]..." /tr http://timestamp.geotrust.com/tsa c:\temp\MyTest.exe </pre> <br /> 그럼 XP/Vista에서 해당 파일의 전자 서명을 확인하면 다음과 같이 SHA1 서명 항목 1개만 나타나고,<br /> <br /> <img alt='double_sign_3.png' src='/SysWebRes/bbs/double_sign_3.png' /><br /> <br /> SHA2 서명이 지원되는 윈도우 7 이상의 컴퓨터에서는 이렇게 2개의 서명 기록이 보입니다.<br /> <br /> <img alt='double_sign_4.png' src='/SysWebRes/bbs/double_sign_4.png' /><br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1074
(왼쪽의 숫자를 입력해야 합니다.)