none
MS에서 CodeSign의 SHA-1 알고리즘 방식을 2016년 부터 지원하지 않는다는 소식이 있어서 문의 드립니다. RRS feed

  • 질문

  • 안녕하세요 MS에서 CodeSign의 SHA-1 알고리즘 방식을 2016년 부터 지원하지 않는다는 소식이 있어서 문의 드립니다.

    이미 답변된 자료가 있으나 추가로 더 궁금한것이 있어서 문의 합니다.

    1. 윈도우에서 CodeSign의 SHA-1 알고리즘을 지원하지 않는 것은 어떤 의미 입니까?

      1.1. ie브라우저에서 SHA-1 방식으로 서명되어 배포되는 파일은 Activex로 받을수 없는 것인가요?

      1.2. ie브라우저에서 SHA-1 방식으로 서명된 파일(exe파일)을 cab파일로 만들어서 SHA-256으로 서명할 경우, cab파일을 배포하는데 문제가 되지 않을까요?

      1.3. 윈도우에서 exe 실행파일이 SHA-1 방식으로 서명되어있을 경우 실행하는데도 제약이 있나요?

      1.4. 이미 서명된 파일(타임스템프가 2016년 1월1일 이전 파일)의 배포도 영향이 있는 건가요?

    2. 윈도우에서 CodeSign의 SHA-1 알고리즘을 지원하지 않을경우를 대비하여 미리 준비하고 테스트 하려고 합니다.

      2.1. 지원 종료되기전에 환경 구성도 하고 테스트도 해야 하는데, 지원종료되서 사용 못하는 경우를 미리 확인 할 수 있는 방법이 있나요?

    답변 부탁 드립니다.

    감사합니다.

    2015년 12월 15일 화요일 오전 4:34

답변

  • 아마도 아래의 문서를 보신 것 같은데요.

    Windows Enforcement of Authenticode Code Signing and Timestamping
    ; http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx

    말씀하신 부분에 해당하는 것이 2번 Code Signing Certificates와 9번 Code signature File Hashes입니다. 일단, 9번의 파일 해시에 대한 코드 서명이 ActiveX 서명에 해당하는 데, 이는 SHA-2를 강제하지 않겠다고 하니 별다른 이슈가 없습니다.

    문제는 2번인데요. SHA-1 코드 서명용 인증서로 서명된 파일들에 대해 더 이상 신뢰하지 않겠다는 것인데 이게 좀 오해의 소지가 있습니다. 이는 ActiveX 서명된 것을 신뢰하지 않겠다는 것이 아니고, MOTW(mark of the web) 속성을 가진 파일 파일에 대해 적용한다는 것입니다. MOTW 파일에 대해서는 다음의 문서를 참조하세요.

    Mark of the Web
    ; https://msdn.microsoft.com/en-us/library/ms537628(v=vs.85).aspx

    테스트 방법은 첫번째 링크의 문서에 "Setting the policy manually"에 나와 있습니다. 적용해 보시면 아시겠지만, 별다른 차이점이 없습니다.

    단지, SHA-1 보안 취약점에 대한 공격방지를 위해 이후로는 SHA-2 사용을 해주시는 것이 권장되는데, 이에 대해서는 다중 서명이 가능하기 때문에 그리 어렵지 않게 처리할 수 있을 것입니다. 관련해서 다음의 글을 참고하세요.

    signtool.exe의 다중 서명 기능
    ; http://www.sysnet.pe.kr/2/0/10875

    2015년 12월 16일 수요일 오전 2:24