我需要在Linux上对PE文件(实际上是EFI)进行数字签名和时间戳。我找到了 3 种用于签署 PE 文件的工具:pesign、osslsigncode 和 signcode(单声道),但似乎没有一种完全符合我的需求。问题是,密钥位于硬件令牌上,无法导出。因此,我必须创建一个证书数据库,在那里添加令牌驱动程序条目并通过此数据库工作。只有pesign允许这样做,但它不支持时间戳。 osslsigncode 和 signcode 支持时间戳,但它们不能使用数据库。
Windows signttool.exe可以作为单独的步骤执行签名和时间戳。所以我想,我可能会使用 pesign 对文件进行签名,然后只使用其他工具为其添加时间戳。但正如我发现的那样,osslsigncode 和 signcode 不支持单独的时间戳(osslsigncode项目中它列在TODO文件中,但在存储库中还没有迹象)。
我错过了一些工具吗?有没有不太低级的库可以让我自己编写这样的程序?(最好是 C/C++/Perl/Python。我试图从osslsigncode获取时间戳代码,但未能轻松地将其与前面的步骤分离(删除现有签名并添加新签名)。
附言我也尝试在 wine 下运行signtool.exe,但 1) 未能让它工作,2) 我不确定它是否合法(我不擅长分析 EULA)。
自 2015 年 3 月以来,osslsigncode 中有一个补丁,允许您通过 PKCS#11 令牌上的密钥对代码进行签名。它尚未成为正式版本的一部分。所以你必须自己建造它,但它对我来说就像魅力一样。
示例调用如下所示:
osslsigncode sign -pkcs11engine /usr/lib/engines/engine_pkcs11.so -pkcs11module /usr/lib/libeTPkcs11.so -certs ~/mysigningcert.pem -key 0:42ff -in ~/filetosign.exe -out ~/signedfile.exe
-pkcs11module开关将 PKCS#11 库作为参数,-key参数的格式为 slotID:keyID 。
SignServer Enterprise Edition 支持使用 Authenticode 对 PE 文件进行签名和时间戳。
此外,通过 PKCS#11 接口支持硬件令牌。
SignServer 通常设置在单独的服务器或 VM 上,最好在 Linux 上运行(但也支持 Windows)。
要签名的文件可以简单地使用 HTTP POST 发送到服务器,然后响应是签名文件。
https://www.signserver.org/
当前osslsigncode具有时间戳选项-t:
osslsigncode sign
-pkcs12 cert.pfx -pass "**********"
-t http://timestamp.digicert.com
-in app.exe -out app-sign-with-timestamp.exe
见 https://github.com/mtrojnar/osslsigncode