内核过签名_内核过签名校验

内核过签名_内核过签名校验

       如果您对内核过签名感兴趣，那么我可以提供一些关于它的背景和特点的信息，以及一些相关的资源和建议。

1.内核 lockdown 导致驱动无法加载的解决方法

2.WIN10驱动签名一定要用EV代码签名证书吗？

内核 lockdown 导致驱动无法加载的解决方法

       由于 linux 内核升级了 lockdown 功能，导致签名验证不过的内核模块在安装时会报：

        insmod: ERROR: could not insert module xxxxxxxx.ko: Operation not permitted

        dmesg | grep secureboot

        dmesg | grep lockdown

        会打印相应的 lockdown 开启显示信息

        将生成的密钥和证书改名为： signing_key.x509 和 signing_key.priv 放到 Linux kernel 源码根目录。

        使用新编译的 kernel 重启系统后，使用如下命令查看已生效的签名证书：

        dmesg | grep MODSIGN

        会显示类似如下信息：

        [ 2.450021] MODSIGN: Loaded cert 'GenFic: Kernel Signing Key: b923a5f44eae25bbad52c8bf2742e7b7e6fb0c0e'

        可以将模块与内核一同编译，也可以以后单独编译，单独编译完的模块要用下面的命令对模块进行签名：

        /usr/src/linux-headers-5.3.0-51-generic/scripts/sign-file sha512 /home/yangyuqi/ko_sign_key/private_key.priv /home/yangyuqi/ko_sign_key/public_key.der xxxxxxxx.ko

        可以使用如下命令查看是否签名已添加到模块：

        hexdump -C hello.ko | tail

        可以使用如下命令移除签名：

        strip --strip-debug hello.ko

WIN10驱动签名一定要用EV代码签名证书吗？

       开不了机很有可能是驱动程序没有做数字签名，需要给驱动程序申请一个EV代码签名证书，方法如下：

       1、在Windows硬件开发者中心推荐列表，选择申请EV代码签名证书；

       2、然后到百度软件中心下载“代码签名精灵”对驱动程序进行签名，就可以避免Win10安装失败的问题，还可以建立smartscreen的信誉，减少系统信任警告。

       1）打开代码签名精灵，在证书选择区，选择用于已申请的EV代码签名证书。以双签名为例，先选择SHA1，在选择对应的SHA1证书，通过PFX证书或是证书库；然后在选择SHA2，在选择对应的SHA2证书，通PFX证书或是证书库，输入证书密码即可；最后点击签名；

       2）在文件选择区，选择需要签名的文件

       3）在选择签名类型目录下，选择“内核签名”。

       4）点击“时间戳”添加时间戳，点击“签名”，执行签名操作，并等待签名完成。

       参考百度经验：/article/76a7e409e45974fc3a6e1578.html

       个人用户方法如下：

       1、个人用户可以启动BIOS，先设置“禁用驱动强制签名”

       2、重启后，检查哪些驱动没有签名，进行更新升级，检查的方法

       如何检测Win10系统中的未签名驱动？方法如下：

       1)在运行中输入“sigverif”后按回车键打开该工具；

       2)点击“开始”就可以进行检测过程；

       3)开始后稍等片刻，就可以看到检测结果。

       是的。

       2016年7月，微软在MSDN宣布从Windows 10的1607版本开始，强制要求所有新的Win10 内核驱动程序，必须获得Windows硬件开发者中心仪表盘门户的数字签名才能在系统中运行。这项政策主要帮助Windows变得更加安全，降低终端用户被恶意驱动程序感染的风险。

       如果您是一位驱动程序开发者，您需要完成以下几步，确保您开发的驱动程序能够在Win10中正常运行。

       （1）提交入口：必须通过Windows硬件开发者中心门户，提交您的新驱动程序；

       （2）驱动提交：所有通过Windows硬件开发者中心门户提交的驱动程序必须使用EV代码签名证书进行数字签名；

       （3）门户注册：Windows硬件开发者中心门户要求注册门户时必须有一张有效的EV代码签名证书。

       简单地说，无论您的驱动程序计划支持哪个版本的Windows系统，如果通过Windows硬件开发者中心门户提交驱动程序，都必须先申请一张EV代码签名证书才能注册门户账户；如果需要支持1607版本以上的Win10系统，还必须使用EV代码签名证书对所有新提交的驱动程序进行数字签名。此外，并非所有EV代码签名证书都能用于Win10内核驱动程序签名和提交。在内核驱动程序方面，微软仅接受已登记授权的官方合作伙伴所签发的EV代码签名证书。

       如果您是一位驱动程序开发者，您需要完成以下几步，确保您开发的驱动程序能够在 Win10 中正常运行。

       （1）门户注册：Windows 硬件开发者中心门户要求注册门户时必须有一张有效的 EV代码签名证书。

       （2）驱动提交：所有通过 Windows 硬件开发者中心门户提交的驱动程序必须使用 EV 代码签名证书进行数字签名；

       （3）提交入口：必须通过 Windows 硬件开发者中心门户，提交您的新驱动程序；

       也就意味着无论您的驱动程序计划支持哪个版本的 Windows 系统，如果通过Windows 硬件开发者中心门户提交驱动程序，都必须先申请一张 EV 代码签名证书才能注册门户账户；

       如果需要支持 1607 版本以上的 Win10 系统，还必须使用 EV 代码签名证书对所有新提交的驱动程序进行数字签名。

       此外，并非所有 EV 代码签名证书都能用于 Win10 内核驱动程序签名和提交。在内核驱动程序方面，微软仅接受已登记授权的官方合作伙伴所签发的 EV 代码签名证书。

       好了，今天关于“内核过签名”的话题就讲到这里了。希望大家能够通过我的介绍对“内核过签名”有更全面、深入的认识，并且能够在今后的实践中更好地运用所学知识。