none
ダッシュボードでのEVコード署名の有効期限の影響(Windows10ドライバ) RRS feed

  • 質問

  • お世話になります。

    現在、Windows10 64bit用のカーネルモードドライバの開発を行っております。

    デジタル署名を行うのは今回初めてなのですが、どなたか以下の内容で
    ご存知の方がおられましたらご教授の程をお願い致します。

    「質問」

    有効期限1年のコード証明書を認証機関より購入予定です。

    デジタル署名の有効期限が切れた場合の影響ですが、
    一度署名したドライバは、特に変更を加えて再署名する事がなければ、
    署名の有効期限が切れても、ブロックされる事なくそのまま使用する事
    ができるとの認識でおりました。
    (このフォーラムでの過去の質問を検索した結果)

    その辺、心配なので証明書の発行元に確認を取ってみたのですが、
    認証機関の回答では

    「タイムスタンプを含めて署名を実施した場合、タイムスタンプの有効期限
    まで署名が有効となる。タイムスタンプの有効期限が切れた場合、警告表示
    またはブロックされる可能性がある」

    との事でした。

    今回、Windows10用に署名を行う場合

    ・認証機関よりEVコード証明書を購入
    ・ハードウェアダッシュボードにEV証明書とドライバーを提出
    ・マイクロソフト側がドライバーに署名
    ・署名されたドライバーを受け取る

    という流れになると思うのですが、ダッシュボードに提出したEV証明書の
    有効期限が切れた場合、以下どのパターンとなるのでしょうか?

    (1)マイクロソフトの署名とEV証明書は別物である為、EV証明書の期限に関係なく
    使用は可能。この場合、マイクロソフト側がタイムスタンプを付けて署名して
    くれるのでタイムスタンプの有効期限までは使用可能。

    (2)一度マイクロソフトにて署名を行えは特に有効期限は無く継続して使用可能

    (3)EV証明書の有効期限が切れるとドライバーも使用不可

    もし(1)の場合はいつまで有効でしょうか?


    以上、宜しくお願い致します。


    2018年3月28日 7:20

回答

  • マイクロソフトの署名とEV署名は別物です。そういう意味では(1)が正解ですが、
    そもそもEV署名の有効期限が切れていると、ダッシュボードで署名ができません。
    来年以降も新たに署名が必要なら、EV署名を更新する必要があります。
    • 回答としてマーク O_Z 2018年3月29日 7:42
    2018年3月28日 9:34
  • ここで疑問なのは、ドライバの改修などをしなくても
    タイムスタンプの有効期限が関係していて10年後ぐらいに
    再署名しなくてはいけないかどうかなのですが・・

    タイムスタンプの有効期限がくれば再署名する必要があると思いますが、これまでの経験上、OSのバージョンアップによるセキュリティ強化など別の要因で数年スパンで再署名する必要にせまられ、タイムスタンプの有効期限はきにする必要がありませんでした。

    • 回答としてマーク O_Z 2018年3月29日 7:42
    2018年3月29日 3:02

すべての返信

  • マイクロソフトの署名とEV署名は別物です。そういう意味では(1)が正解ですが、
    そもそもEV署名の有効期限が切れていると、ダッシュボードで署名ができません。
    来年以降も新たに署名が必要なら、EV署名を更新する必要があります。
    • 回答としてマーク O_Z 2018年3月29日 7:42
    2018年3月28日 9:34
  • Iwasy様

    早速の回答、有難う御座います。

    EV署名を更新する費用を毎年毎年は負担できないので、
    1年間の有効期間中にダッシュボードで署名を行なった後は
    ドライバの改修などが必要になった場合のみ、EV署名を再取得して
    署名する予定でいます。

    ここで疑問なのは、ドライバの改修などをしなくても
    タイムスタンプの有効期限が関係していて10年後ぐらいに
    再署名しなくてはいけないかどうかなのですが・・

    その辺もしお分かりでしたらご教授いただけると助かります。
    2018年3月28日 11:39
  • ここで疑問なのは、ドライバの改修などをしなくても
    タイムスタンプの有効期限が関係していて10年後ぐらいに
    再署名しなくてはいけないかどうかなのですが・・

    タイムスタンプの有効期限がくれば再署名する必要があると思いますが、これまでの経験上、OSのバージョンアップによるセキュリティ強化など別の要因で数年スパンで再署名する必要にせまられ、タイムスタンプの有効期限はきにする必要がありませんでした。

    • 回答としてマーク O_Z 2018年3月29日 7:42
    2018年3月29日 3:02
  • せれ様

    回答、有難う御座います。

    タイムスタンプの有効期限にプラスしてOSのバージョンアップなどでも
    再署名の必要性が出るかもしれないとの事、
    了解致しました。
    2018年3月29日 4:05
  • O_Z さん、こんにちは。フォーラム オペレーターの立花です。
    MSDN フォーラムへご投稿くださいましてありがとうございます。
    フォーラム オペレーターからお願いです。

    Iwasy さん、せれさんから頂いた情報はお役に立ちましたでしょうか。
    参考となった返信がございましたら、同じ問題で後から参照した方が、
    すぐに情報を確認できるように、[回答としてマーク] をご設定くださいませ。

    ご協力の程、どうかよろしくお願いいたします。

    フォーラム利用時の注意点のお知らせです。
    ※初めてご投稿された方を対象にお知らせしています。

    ご利用の際は、下記内容をお守りいただきますと
    情報が寄せられやすくなりますので、ぜひご一読ください。
    フォーラムでご質問頂くにあたっての注意点
    フォーラムのご利用方法(質問の投稿)について
    フォーラムへの回答に関するガイドラインおよびフォーラム運営について(再掲)
    ご意見、ご要望はこちらのフォーラムまで。
    各種設定方法はフォーラム内を [かんたん フォーラム ガイド] で検索してみてください。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 立花楓

    2018年3月29日 4:49
    モデレータ