정식 인증서가 있는 경우 Device Driver 서명하는 방법

(여기서 말하는 인증서는 소프트웨어 서명용 인증서입니다. 쉽게 말해 ActiveX 서명 시에 사용했던 바로 그 인증서입니다.)

지난번에 만든 NT Legacy Driver를,

ZwTerminateProcess로 프로세스를 종료하는 Device Driver 프로그램
; https://www.sysnet.pe.kr/2/0/2904

테스트 인증서로 서명하는 경우 "bcdedit /set testsigning on" 옵션을 켜야 하는데요. 이로 인해 2가지 사소한 문제가 발생합니다. 하나는 바탕화면에 별로 원치 않는 문구가 뜬다는 것이지요. ^^ 이렇게! (달리 말하면, 테스트 인증서로 서명한 드라이버 사용을 허용하기 때문에 자칫 보안 허점으로 이어질수도 있습니다.)



나머지 하나는 요즘 들어 사용되고 있는 "SecureBoot" 옵션이 켜진 컴퓨터에서는 바이오스 단계부터 옵션을 해제해서 들어가는 등 불편한 점이 제법 있습니다.

따라서, 어느샌가 개발자 PC에서 테스트를 할 때조차도 정식 인증서가 있다면 그걸 사용하는 것이 더 나은 상황이 된 것입니다.

---

그런데, 테스트 인증서로 드라이버를 서명하는 방법은 많이 공개되어 있는데 ("bcdedit /set testsigning off" 환경에서도 잘 동작하도록) 정식 인증서로 서명하는 방법에 대한 설명은 (한글 자료로) 별로 볼 수가 없어서 이렇게 글을 작성하게 되었습니다. ^^

사실, 방법은 마이크로소프트 사이트에 자세하게 공개되어 있습니다.

Kernel-Mode Code Signing Walkthrough
; https://learn.microsoft.com/en-us/previous-versions/windows/hardware/design/dn653569(v=vs.85)

위의 사이트에 공개된 "KMCS_Walkthrough.doc" 파일을 다운로드 받아 내용을 한번 살펴 보도록 하겠습니다.

우선, "Step 1: Prepare the Computer for Test-Signing", "Step 2: Create a Test Certificate by Using MakeCert"의 내용은 정식 인증서를 사용할 것이므로 넘어가도 됩니다. 그리고, "Step 3: Create a Catalog File for Test-Signing"의 내용을 보면 .cat 파일을 생성하는 방법이 나오는데... 음... 읽기 귀찮아지는군요. ^^

다행인 것은 "Step 6: Test-Sign a Driver Image File by Using an Embedded Signature"에서 .cat 서명이 아닌 .sys 파일 자체에 대한 "Embedded Signature" 방법도 있음을 알려주고 있습니다. 그리고 "Embedded Signature" 방식이 동작하기 위해서는 드라이버 유형이 다음에 속해야 한다고 합니다.

1. When the driver package contains a boot-start driver.
2. When the driver is installed as part of an application and does not use a catalog file.

"ZwTerminateProcess로 프로세스를 종료하는 Device Driver 프로그램" 글에서 만든 NT Legacy driver는 "Boot-Start" 드라이버는 아닙니다. 하지만, INF 파일을 이용해 설치되지 않고 응용 프로그램이 사용하는 유형이므로 2번째에는 해당합니다. 다시 말해, "ZwTerminateProcess로 프로세스를 종료하는 Device Driver 프로그램"에서 만든 드라이버는 .cat 파일 없이 "Embedded Signature" 방식을 적용하면 되는 것입니다.

---

위에서 말한 "Embedded Signature" 방식은, 예전에 Appinit_Dlls를 서명했던 바로 그 방식입니다.

Appinit_Dlls로 구현한 환경변수 설정 DLL
; https://www.sysnet.pe.kr/2/0/883

즉, 다음의 2가지 절차를 따르면 되는데,

1. DLL 빌드 시에 "/integritycheck" 옵션을 준다.
2. 교차 인증서(cross-certificate)를 같이 사용해서 서명한다.

1번은 "Appinit_Dlls 로 구현한 환경변수 설정 DLL" 글에서도 자세히 설명했으므로 2번을 좀 더 보겠습니다.

제가 테스트한 인증서는 "Synmantec Class 3 SHA256 Code Signing CA"를 거쳐 "VeriSign"이 루트입니다. 그리고 루트 인증서의 정보를 보면 "VeriSign Class 3 Public Primary Certification Authority - G5"라고 되어 있는 것을 속성창을 통해 확인할 수 있습니다. (이 문자열을 잘 봐두어야 합니다.)



이제 그 문자열로 다음의 사이트에서 해당하는 교차 인증서를 다운로드 받습니다.

Cross-Certificates for Kernel Mode Code Signing
; https://learn.microsoft.com/en-us/windows-hardware/drivers/install/cross-certificates-for-kernel-mode-code-signing

제 경우에는 다음의 인증서가 되는 것입니다.

VeriSign Class 3 Public Primary Certification Authority - G5

Root certificate thumbprint:
57 53 4c cc 33 91 4c 41 f7 0e 2c bb 21 03 a1 db 18 81 7d 8b
Download cross-certificate for VeriSign Class 3 Public Primary Certification Authority - G5 in a 2 KB zip file.

다운로드: http://go.microsoft.com/fwlink/?LinkId=321787

다운로드 받은 "VeriSign Class 3 Public Primary Certification Authority - G5.zip" 파일의 압축을 풀면 "VeriSign Class 3 Public Primary Certification Authority - G5.cer" 파일이 나옵니다. 이 인증서를 등록할 필요는 없고 다음과 같이 signtool.exe의 인자에 교차 인증서 파일명과 여러분의 소프트웨어 서명 인증서를 지정해 실행하면 됩니다.

Signtool sign /v /ph /ac "VeriSign Class 3 Public Primary Certification Authority - G5.cer" /sm /n "YourCertName" /t http://timestamp.verisign.com/scripts/timestamp.dll test.sys

이렇게 서명이 완료된 .sys 파일은 "bcdedit /set testsigning on" 옵션을 적용하지 않은 운영체제에서도 잘 동작합니다. ^^

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 5/9/2015]
[최종 수정일: 5/15/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com