AppDNA

デジタル署名

デジタル署名は、デジタルファイルが識別可能なソースから送信され、改ざんされていないことをユーザーに保証するメカニズムです。デジタル署名には、多くの場合、一連の証明書が含まれます。デジタルファイルの発行元は、証明機関 (CA) によって発行された証明書を使用してデジタル署名を生成します。CA は、パブリッシャの ID を検証する責任があります。その CA の証明書は、別の CA によって発行され、ルート CA に戻された場合も同様です。(複数のルートが存在する可能性があります)。 このようにして、次の図に示すように、証明書はチェーンを形成します。

図表イメージ

Windows オペレーティングシステム (OS) は、証明書と信頼された発行元と信頼されていない発行元と CA の一覧をコンピューターごとおよびユーザーごとに保存します。Microsoft 管理コンソールの [証明書] スナップインを使用して、OS に保存されている証明書を表示および管理できます。

デジタル署名DNAのキャプチャ

アプリケーションをAppDNAにインポートすると、インポートプロセスによって、アプリケーションファイルで見つかったデジタル署名の情報がキャプチャされます。デジタル署名が存在する場合、通常、アプリケーションの移植可能な実行可能ファイル (PE) ファイル (実行可能ファイルや DLL など) に格納されます。ただし、ドライバーの場合、デジタル署名は関連付けられたカタログファイルに含まれる場合があります。

インポートプロセスでは、署名の基本的な詳細と証明書チェーン内の各証明書に関する情報を抽出して保存します。インポートプロセスでは、AppDNAインポートマシンの証明書チェーンのコンテキスト内で署名が有効かどうかを判断しようとします。ただし、保存されている証明書情報が異なる場合は、別のマシンまたは OS、または別のユーザーによって結果が異なる場合があります。このため、一部のアルゴリズムは、選択した OS イメージに対して追加のチェックを行います。

インポート処理では、証明書失効リストがチェックされません。これは、インポートが許容できない程度に遅くなるためです。

Windows 8 とサーバー 2012 の信頼されていない署名

Windows 8 と Windows Server 2012 の両方で、信頼されていない発行元によって署名されたファイルの実行がブロックされます。これによる実際の影響は、どのファイルが影響を受けるかによって異なります。メインアプリケーションの実行可能ファイルである場合、アプリケーションは実行されません。Windows は、アプリケーションが署名要件を満たしていないことを示すメッセージをユーザーに提示します。ただし、影響を受けるファイルがマイナー DLL の場合、アプリケーションが実行される可能性がありますが、DLL に依存する機能が呼び出されると失敗します。影響を受けるファイルがカーネルモードドライバーの場合、ドライバーをインストールまたは実行できない場合があります。

カーネルモードドライバは、「スーパーバイザモード」で実行されるデバイスドライバで、標準の「ユーザーモード」で実行されるドライバと比較して、低レベルの機能への特権アクセスとパフォーマンスの利点を提供します。スーパーバイザモードで実行されているプログラムに障害が発生すると、システム全体に障害が発生する可能性があります。したがって、Windows Server 2012 および 64 ビットエディションの Windows 8 では、信頼されていない発行元によって署名されたカーネルモードドライバーのインストールと実行がブロックされます。

メモ:アプリケーションに、署名されたサードパーティ製のコンポーネントが含まれている場合など、複数の発行元からの複数のデジタル署名が含まれている場合があります。

Windows 8 および Windows Server 2012アルゴリズム

次のアルゴリズムは、信頼されていないデジタル署名を含むファイルを検出します。信頼されていないとは、発行元またはチェーン内の CA のいずれかが、ターゲットの OS イメージに格納されている信頼されていない発行元および CA のリストに表示されることを意味します。したがって、これらのアルゴリズムの結果は、選択したターゲット OS イメージによって異なります。

  • Windows 8 and Windows 8.1の場合:WIN8_UNTRUSTED_001
  • Windows Server 2012およびWindows Server 2012 R2の場合:W2K12_UNTRUSTED_001

修復レポートビューには、アプリケーション内のどのファイルが影響を受けるか、これがドライバかどうか、および信頼されていない証明書の詳細に関する情報が表示されます。

「是正」

外部アプリケーションについては、製造元に問い合わせて、信頼できる発行元によって署名されたアプリケーションまたはドライバーの更新版を入手してください。

これが不可能な場合は、発行元または CA が信頼できないリストに掲載されている理由を調査します。Microsoft 管理コンソールへの証明書スナップインを使用して、OS イメージの信頼されていない一覧から発行元を削除できます。しかし、これは実際に信頼できるものであり、アプリケーションが安全であり、セキュリティポリシーに準拠していることを最初に確立しないと実行すべきではありません。

証明書スナップインを開く手順については、Microsoft の Web サイトの「証明書の表示または管理」を参照してください。証明書スナップインを開いた後、ヘルプを使用して、証明書の表示と管理に関する詳細なドキュメントを表示します。

デジタル署名