[科普]浅析WINDOWS 10的新签名政策

Tesla.Angela

注：由于微软太喜欢折腾，政策经常变化，所以本文的观点不保证完全正确，请带着批判的眼光阅读本文。

早在今年8月，就有网友问过类似的问题，我当时给出了详细的回复：求解释WIN10(1607)的签名新政策。最近我正好在研究类似的事情，对这个新的签名政策有了更深入的了解。结论如下：
1、以后内核驱动程序都必须经过EV签名（SHA256算法，官方称呼是“扩展签名”），用老签名（SHA1算法，官方称呼是“标准签名”）不行了。
2、EV签名是有钱就能买到的，但是要想驱动被正常的加载，还必须“由硬件开发人员中心仪表板签名”（官网原话）。而普通开发者要获得这个签名不是容易的事情。这个可以理解为“新DSE政策”。
3、由于这个政策太严格，为了避免造成老设备大面积无法工作，所以目前微软还暂且留了个后门，就是不满足“系统为EFI模式启动、开启SecureBoot、驱动没在20150729之前被交叉签名”中的任一条件时，“新DSE政策”都不会被启用。
4、没有打补丁的WIN7X64SP1系统无法加载只带EV签名的驱动，您也可以通过对驱动进行双签名解决此问题。

对于普通驱动开发者的影响是：

游客，如果您要查看本帖隐藏内容请回复

参考：Get a code signing certificate

Yecate

第一次离楼猪这么近

linkerrors

感谢科普！

hapon

还是挡不住国产软件的流氓行为。

flac

这个政策搞的我们这些普通人都快没办法了

Akay

谢谢科普~~~

thegfw

谢谢分享

mysmartid

感谢分享

kz丶cn

新文章 支持下

wtxpwh

看看学习一下。