|
|
注:由于微软太喜欢折腾,政策经常变化,所以本文的观点不保证完全正确,请带着批判的眼光阅读本文。
早在今年8月,就有网友问过类似的问题,我当时给出了详细的回复:求解释WIN10(1607)的签名新政策。最近我正好在研究类似的事情,对这个新的签名政策有了更深入的了解。结论如下:
1、以后内核驱动程序都必须经过EV签名(SHA256算法,官方称呼是“扩展签名”),用老签名(SHA1算法,官方称呼是“标准签名”)不行了。
2、EV签名是有钱就能买到的,但是要想驱动被正常的加载,还必须“由硬件开发人员中心仪表板签名”(官网原话)。而普通开发者要获得这个签名不是容易的事情。这个可以理解为“新DSE政策”。
3、由于这个政策太严格,为了避免造成老设备大面积无法工作,所以目前微软还暂且留了个后门,就是不满足“系统为EFI模式启动、开启SecureBoot、驱动没在20150729之前被交叉签名”中的任一条件时,“新DSE政策”都不会被启用。
4、没有打补丁的WIN7X64SP1系统无法加载只带EV签名的驱动,您也可以通过对驱动进行双签名解决此问题。
对于普通驱动开发者的影响是:
参考:Get a code signing certificate |
|
发表于 2016-12-21 21:55:04
发表于 2016-12-21 22:13:05
