signtool.exe의 다중 서명 기능
SHA1 해시가 안전하지 않다고 해서 SHA2로 하고 싶을텐데요. 인증서로 코드 서명시 다음과 같은 명령을 주면 SHA256으로 해시 처리를 하게 됩니다.
signtool sign /fd SHA256 /v /sm /n "...[이름]..." /tr http://timestamp.geotrust.com/tsa c:\temp\MyTest.exe
조심해야 할 것은 서명 검증 시 윈도우 XP/Vista(2003, 2008)에서는 SHA2를 지원하지 않기 때문에 SHA256으로 서명된 바이너리를 해당 운영체제가 설치된 컴퓨터에 배포하면 다음과 같이 서명이 올바르지 않다고 판단하게 됩니다.
예를 들어, SHA256으로 서명한 ActiveX를 XP 컴퓨터에 배포하면 다음과 같이 서명을 검증할 수 없어 보안 경고가 발생하게 됩니다.
따라서 윈도우 비스타 이전의 컴퓨터에서도 구동해야 할 바이너리가 있다면 SHA1 방식으로 서명을 해줘야 합니다. 그런데, 여기서 고민이 생기는 군요. ^^ 그렇다면 코드 서명 때문에 바이너리를 2중으로 마련해 설치를 복잡하게 만들어야 하는 걸까요?
다행히... ^^ 이런 경우 signtool의 다중 서명 기능을 이용해서 SHA1, SHA2 방식을 모두 해주면 됩니다.
방법도 간단합니다. 우선 기본 서명으로 SHA1을 사용해 주고,
signtool sign /v /sm /n "...[이름]..." /t http://timestamp.verisign.com/scripts/timestamp.dll c:\temp\MyTest.exe
이어서 /as 옵션을 이용해 추가 서명을 하면 됩니다.
signtool sign /as /fd SHA256 /v /sm /n "...[이름]..." /tr http://timestamp.geotrust.com/tsa c:\temp\MyTest.exe
그럼 XP/Vista에서 해당 파일의 전자 서명을 확인하면 다음과 같이 SHA1 서명 항목 1개만 나타나고,
SHA2 서명이 지원되는 윈도우 7 이상의 컴퓨터에서는 이렇게 2개의 서명 기록이 보입니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]