Windows 10부터 바뀐 device driver 서명 방법
예전에만 해도,
정식 인증서가 있는 경우 Device Driver 서명하는 방법
; https://www.sysnet.pe.kr/2/0/2914
legacy device driver, 또는 non-pnp device driver라고 불리는 sys 파일에 대해서는 정식 소프트웨어 인증서로 서명했으면 SCM에 등록해 사용할 수 있었는데요, Windows 10부터는 이것도 안 되게 바뀌었습니다.
예를 들어, 제가 만들어 두었던 커널 메모리를 읽고 쓰는 드라이버 파일의 경우,
커널 메모리를 읽고 쓰는 NT Legacy driver와 C# 클라이언트 프로그램
; https://www.sysnet.pe.kr/2/0/12104
당시에는 교차 인증서를 사용해 서명하면 문제가 없었는데,
Cross-Certificates for Kernel Mode Code Signing
; https://learn.microsoft.com/en-us/windows-hardware/drivers/install/cross-certificates-for-kernel-mode-code-signing
현재는 교차 인증서가 아예 없어졌습니다. 따라서 단순히 일반 소프트웨어 인증서로 서명해도 시작 시 오류가 발생합니다.
// 다중 서명
c:\temp> Signtool sign /fd sha1 /v /ph /sm /n "...인증서 이름..." /t http://timestamp.digicert.com KernelMemoryIO.sys
c:\temp> Signtool sign /as /fd sha256 /ph /v /sm /n "...인증서 이름..." /tr http://timestamp.digicert.com /td sha256 KernelMemoryIO.sys
c:\temp> sc create "KernelMemoryIO" binPath= "C:\temp\KernelMemoryIO.sys" type= kernel start= demand
c:\temp> sc start "KernelMemoryIO"
[SC] StartService FAILED 577:
Windows cannot verify the digital signature for this file. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.
바뀐 정책에 따르면,
Driver Signing changes in Windows 10
; https://techcommunity.microsoft.com/blog/windowshardwarecertification/driver-signing-changes-in-windows-10/364859
이제 pnp/non-pnp 상관없이 모든 커널 드라이버는 마이크로소프트에 의해 서명을 받아야 합니다. 여기서 가장 큰 장애는, 그 서명을 받으려면 일반 코드 서명 인증서가 아니라, EV(Extended Validation) 코드 서명 인증서가 필요하다는 것입니다.
DigiCert EV CodeSign
; https://www.certkorea.co.kr/codesign/sp.php?p=23&s_code=16
1년마다 90만 원을 지불해야 하니, 개인의 경우에는 꽤나 부담스러운 수준입니다. (일반 코드 서명 인증서도 1년에 60만 원 정도 합니다.)
위의 내용을 보고 갑자기 궁금해진 소프트웨어가 있었는데요, 바로 Process Hacker입니다. 그 제품은 Process Explorer와 유사한 기능을 제공하면서도 무료로 배포하고 있었는데,
Process Hacker (현재는 이름이 "System Informer"로 바뀜)
; https://processhacker.sourceforge.io/
구현을 위해 반드시 커널 모드의 드라이버를 필요로 한 제품이었습니다. 그렇다면, 저걸 만든 개발자가 개인 비용을 들여 해마다 EV 코드 서명 인증서를 구입하고 있다는 것인데요, 정말 그럴까 싶어서 확인해 봤더니 "SystemInformer.sys" 파일의 서명이 (EV 인증서가 있어야만 통과되는) "Microsoft Windows Hardware Compatibility Publisher"로 서명된 것으로 나옵니다.
오호~~~ 진짜로 ^^; EV 인증서 구입을 감수하고 있었던 것입니다. (잘은 모르지만 아마도 sourceforge 측의 지원이 있지 않을까 싶습니다.)
정리하면, 이제 커널 모드 드라이버를 개발하는 회사에 취업하지 않는 한 TESTSIGNING 모드를 벗어날 수는 없을 듯합니다.
// 관리자 권한으로 실행 (재부팅 필요)
Bcdedit.exe -set TESTSIGNING ON
혹시나 나중에 EV 인증서가 생긴다면 "
Windows Hardware Developer Center Dashboard portal"을 통해 구체적으로 어떻게 서명 받게 되는지 설명해 보겠습니다. (지금은 없으므로 진행 자체를 할 수 없어 다룰 수가 없군요. ^^)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]