使用UKEY进行数字签名和加密 -- HSM、PKCS#11与Signtool

使用UKEY进行数字签名和加密 – HSM、PKCS#11与Signtool

1. 简介

1.1 HSM、PKCS#11 与 Signtool 的基础概念

HSM (Hardware Security Module): 一种硬件设备，专门设计用于保护和管理数字密钥，并执行加密操作。HSM 提供了一个高度安全的环境，确保密钥不会被未经授权的访问。
PKCS#11: 一组标准，定义了与密码设备（如HSM）交互的API。PKCS#11 允许应用程序通过标准化的接口与HSM通信，增强了互操作性和灵活性。
Signtool: 一款签名工具，用于对可执行文件、脚本、驱动程序等进行数字签名。Signtool 可以通过PKCS#11 接口与HSM交互，利用HSM中的私钥进行签名操作。

1.2 三者之间的关系及重要性

Signtool与HSM的连接: Signtool 通过PKCS#11 API 与HSM通信，确保签名过程中使用的私钥始终保存在HSM内部，从而提高安全性。
安全性提升: 即使Signtool所在的计算机被黑客攻破，攻击者也无法获取到用于签名的私钥，因为私钥始终存储在HSM中。
灵活性与兼容性:PKCS#11标准使得Signtool能够与多个不同厂商的HSM设备兼容，增加了选择的灵活性。

2. HSM基础

2.1 HSM的功能与应用场景

功能:
- 密钥生成与管理
- 加密与解密
- 数字签名与验证
- 随机数生成
应用场景:
- 金融行业: 保护交易数据
- 政府机构: 保护敏感信息
- 企业: 保护知识产权和客户数据

2.2 HSM的安全特性

物理安全: HSM通常安装在安全的数据中心，具备防篡改和防破坏机制。
逻辑安全: HSM内部有严格的访问控制和审计日志，确保只有授权用户才能访问密钥。
加密算法支持: HSM支持多种加密算法，如RSA、ECC、AES等。

3. PKCS#11标准

3.1 PKCS#11的作用与价值

作用: 提供了一组标准的API，允许应用程序与HSM或其他密码设备进行通信。
价值:
- 互操作性: 不同厂商的HSM可以通过相同的API进行通信。
- 灵活性: 应用程序可以轻松地切换不同的HSM供应商，而无需修改代码。

3.2 PKCS#11 API的基本使用

初始化: C_Initialize() - 初始化PKCS#11库。
打开会话: C_OpenSession() - 打开与HSM的会话。
登录: C_Login() - 使用PIN码登录HSM。
查找对象: C_FindObjectsInit(), C_FindObjects(), C_FindObjectsFinal() - 查找密钥对象。
签名: C_SignInit(), C_Sign() - 初始化签名操作并执行签名。
注销与关闭会话: C_Logout(), C_CloseSession(), C_Finalize() - 注销用户并关闭会话。

4. 不同厂商的Signtool工具用法

4.1 亚洲诚信CSignTool.exe

命令概述
CSignTool.exe 是一个命令行工具，用于对文件进行数字签名和验证签名。以下是其基本命令和参数的详细介绍。

基本用法

CSignTool <command> </r <rule>> </f <file|dir>> [/ac|/kp|/s]

命令

sign: 对文件或目录进行签名。
verify: 验证文件或目录的签名。

参数

/r : 指定签名或验证规则的名称。
/f <file|dir>: 指定要签名或验证的文件或目录。
/ac: （仅签名）添加额外的证书，用于驱动签名。
/kp: （仅验证）使用内核模式驱动程序签名策略进行验证。
/s: （仅验证）检查证书状态（可能会降低速度）。

退出代码

0: 所有文件签名/验证成功。
n: 失败的文件数量。

示例

签名文件
假设您有一个名为 example.exe 的文件，您希望使用名为 myrule 的规则对其进行签名，可以使用以下命令：

CSignTool sign /r myrule /f example.exe

验证文件
假设您有一个名为 example.exe 的已签名文件，您希望使用名为 myrule 的规则对其进行验证，可以使用以下命令：

CSignTool verify /r myrule /f example.exe

添加额外证书并签名
如果您需要在签名过程中添加额外的证书，可以使用 /ac 参数：

CSignTool sign /r myrule /f example.exe /ac

使用内核模式驱动程序签名策略进行验证
如果您需要使用内核模式驱动程序签名策略进行验证，可以使用 /kp 参数：

CSignTool verify /r myrule /f example.exe /kp

检查证书状态
如果您希望在验证过程中检查证书状态，可以使用 /s 参数：

CSignTool verify /r myrule /f example.exe /s

注意事项

确保您已经正确配置了签名规则和证书。
在使用 CSignTool.exe 之前，请确保您的计算机连接到互联网，以便访问必要的服务（如时间戳服务器）。
请妥善保管您的证书文件和密码，避免泄露给未经授权的第三方。

4.2 沃通wosigncodecmd

命令概述
wosigncodecmd.exe 是沃通提供的一个命令行工具，用于对文件进行数字签名和时间戳处理。以下是其基本命令和参数的详细介绍。

命令

sign: 对文件进行签名。
timestamp: 为已签名的文件添加时间戳。
help or h: 显示帮助信息。

参数
通用选项

/default: 使用沃通签名工具的UI参数。如果使用此选项，其他选项将被忽略，除非是 /file、/dir、/hide、/p、/c、/ph。
/file <file(s)>: 指定文件名，支持通配符。例如：/file f1 f2...
/dir <dir(s)>: 指定目录。例如：/dir dir1 dir2...

证书选择选项

/pfx : 指定包含签名证书的PFX文件。
/tp : 指定签名证书的SHA1指纹。
/p : 指定PFX文件的密码或UKey的PIN码。
/dig : 指定用于创建文件签名的摘要算法（sha1 或 sha256，默认是 sha1）。

参数选项

/as: 追加此签名。如果没有主签名，此签名将被设为主签名。
/d : 提供签名内容的描述。
/du : 提供关于签名内容的更多信息的URL。
/t : 指定时间戳服务器的URL。如果未指定此选项，签名文件将不会被时间戳。如果时间戳失败，将生成警告。
/tr : 指定RFC 3161时间戳服务器的URL。如果未指定此选项（或 /t），签名文件将不会被时间戳。如果时间戳失败，将生成警告。此选项不能与 /t 一起使用。
/isf: 忽略已签名的文件。
/hide: 隐藏沃通签名工具的UI。
/c: 任务完成后关闭沃通签名工具。

其他选项

/ph: 如果支持，为可执行文件生成页面哈希。

示例

签名文件
假设您有一个名为 example.exe 的文件，您希望使用存储在 mycert.pfx 文件中的证书对其进行签名，该证书的密码是 mypassword。您可以使用以下命令：

wosigncodecmd.exe sign /file example.exe /pfx mycert.pfx /p mypassword /dig sha256 /d "Example Software" /du "http://www.example.com" /t http://timestamp.wosign.com

签名多个文件
假设您有一个目录 bin，其中包含多个需要签名的文件。您可以使用以下命令：

wosigncodecmd.exe sign /dir bin /pfx mycert.pfx /p mypassword /dig sha256 /d "Example Software" /du "http://www.example.com" /t http://timestamp.wosign.com

为已签名的文件添加时间戳
假设您有一个已签名的文件 signed_example.exe，您希望为其添加时间戳。您可以使用以下命令：

wosigncodecmd.exe timestamp /file signed_example.exe /t http://timestamp.wosign.com

忽略已签名的文件
假设您有一个目录 bin，其中包含多个文件，您希望只对未签名的文件进行签名。您可以使用以下命令：

wosigncodecmd.exe sign /dir bin /pfx mycert.pfx /p mypassword /dig sha256 /d "Example Software" /du "http://www.example.com" /t http://timestamp.wosign.com /isf

隐藏UI并自动关闭
假设您希望在签名过程中隐藏UI并在任务完成后自动关闭工具。您可以使用以下命令：

wosigncodecmd.exe sign /file example.exe /pfx mycert.pfx /p mypassword /dig sha256 /d "Example Software" /du "http://www.example.com" /t http://timestamp.wosign.com /hide /c

注意事项