关于使用signtool进行时间戳和代码签名 - 将多个时间戳授权机构的邮票应用于签名代码是否被视为最佳做法?可能有助于我理解的其他相关问题:
是否可以使用不同的时间戳服务器应用多个时间戳? 如果我的理解在本文中是正确的,答案是肯定的 请参阅:Alternative timestamping services for Authenticode
如果是这样,多个时间戳是否提供时间戳的验证“故障转移”? 例如,一段代码被签名,然后由comodo和verisign加上时间戳。如果系统无法连接到verisign,它是否仍然有效,如果它可以连接到comodo来验证时间戳?我假设在验证代码并检测到时间戳时,系统会将网络流量发送到时间戳机构以验证TimeStamp。如果不是这种情况,并且只是在本地验证(其中一个?)时间戳是由可信CA针对可能回答问题的本地商店发出的。
或许还有一个问题要问,在检查时间戳时,这是一个“AND”(所有时间戳必须是可以验证的代码才能通过检查)或“OR”(其中一个时间戳必须是可验证的代码)通过检查)。
答案 0 :(得分:2)
对于1),他们正在谈论故障转移,这意味着如果第一个服务器无法访问,他们只需从第一个服务器切换到第二个服务器。在任何情况下,结果只有一个时间戳。
但是,有些人尝试应用两个签名,每个签名都有其时间戳:
对于2),一旦时间戳是可执行文件的一部分,就不再需要连接到服务器了。正如您已经想到的那样,时间戳本身就是一个签名,如果该签名被Windows信任,则它被认为是有效的。
对于3),由于缺乏可用的样本,我现在无法给出答案。