13

有没有一种简单的方法可以检查文件上是否存在数字签名,而无需尝试验证其签名的证书?

我想在一个目录中签署一长串 exe 和 dll 文件,但只签署尚未签署的文件。

例如,如果其中一个文件已由 Microsoft 或其他第 3 方签名,我不想用我公司的证书再次对其进行签名。

通过右键单击文件并查看其属性(如果显示数字签名选项卡,则表明它已被签名),可以轻松检查文件是否具有数字签名。我正在寻找一种使用 C# 检查此数字签名属性的简单方法。

现在,我正在使用带有 signtool.exe 的 verify 命令——它不仅检查数字签名是否存在,而且检查用于签署文件的证书是否由受信任的机构颁发。

这是我这样做的简单但笨拙的方法:

private static Boolean AlreadySigned(string file)
{
    ProcessStartInfo startInfo = new ProcessStartInfo();
    startInfo.RedirectStandardOutput = true;
    startInfo.RedirectStandardError = true;
    startInfo.FileName = "signTool.exe";
    startInfo.Arguments = "verify /v " + file;
    startInfo.UseShellExecute = false;

    Process process = new Process();
    process.StartInfo = startInfo;
    process.EnableRaisingEvents = true;
    process.Start();
    process.WaitForExit();
    string output = process.StandardOutput.ReadToEnd();

    return output.Contains("Signing Certificate Chain:");
}

请注意,我正在使用详细标志“/v”并检查输出是否包含文本“签名证书链:”——只是因为我注意到该字符串始终在已签名文件的输出中——并且是从任何未签名的文件中省略。

无论如何,尽管它很笨拙,但这段代码似乎可以完成工作。我想更改它的一个原因是因为它似乎需要几百毫秒才能对文件执行验证命令。我不需要验证我只是想查看文件上是否存在数字签名的证书。

简而言之,有没有一种简单的方法来检查数字签名是否存在 - 而无需尝试验证它?

4

3 回答 3

12

我使用“Get-AuthenticodeSignature”powershell 命令想出了一个相当不错的解决方案。我发现这个网站解释了如何在 c# 中使用 powershell 命令。这样我就不需要产生多个进程,而且速度很快。 

using System.Collections.ObjectModel;
using System.Management.Automation;
using System.Management.Automation.Runspaces;


private static Boolean alreadySigned(string file)
{            
            try
            {
                RunspaceConfiguration runspaceConfiguration = RunspaceConfiguration.Create();
                Runspace runspace = RunspaceFactory.CreateRunspace(runspaceConfiguration);
                runspace.Open();

                Pipeline pipeline = runspace.CreatePipeline();
                pipeline.Commands.AddScript("Get-AuthenticodeSignature \"" + file + "\"");

                Collection<PSObject> results = pipeline.Invoke();
                runspace.Close();
                Signature signature = results[0].BaseObject as Signature;
                return signature == null ? false : (signature.Status != SignatureStatus.NotSigned);
            }
            catch (Exception e)
            {
                throw new Exception("Error when trying to check if file is signed:" + file + " --> " + e.Message);
            }
}
于 2013-04-16T01:00:24.097 回答
9

如果要对 .NET 程序集执行此操作,可以执行以下操作:

        string filePath = "C:/path/to/file.dll";
        Assembly assembly = Assembly.LoadFrom(filePath);
        Module module = assembly.GetModules().First();
        X509Certificate certificate = module.GetSignerCertificate();
        if (certificate == null)
        {
             // file is not signed.
        }

该类X509Certificate有一些静态方法也可能有用(例如CreateFromSignedFile),但我对它们不太熟悉。这是我们用来仔细检查我们的内部工具是否已应用数字签名的方法。

于 2013-04-11T05:47:19.073 回答
2

首先,signtool 仅适用于 PE 文件。对于其他文件类型,可以使用包装签名或嵌入签名或分离签名来完成签名。

包装签名会更改实际文件,使其无法被通常用于读取它的应用程序读取。例如。如果您在 PDF 上创建包装签名,则在删除签名之前,任何 PDF 工具都无法读取该文件。

某些文件格式支持其格式的嵌入签名(EXE 文件和 Authenticode 格式就是示例)。在那里,您可以将签名嵌入到文件中,其他应用程序仍然可以读取它。但这是特定于格式的,支持这一点的格式并不多。

最后分离的签名与文件分开保存。即,如果您有一个文件a.txt,则创建一个分离的签名并将其放入,例如,a.txt.pkcs7detached.

如您所见,分离的签名最适合您的任务。在这种情况下,您有一个 .pkcs7detached 文件列表,因此您可以检查 - 如果该文件没有对应的带有签名的 .pkcs7detached 文件,则创建一个新签名。

我们的SecureBlackbox产品的 PKIBlackbox 包支持上述所有签名类型。

于 2013-04-11T05:10:38.037 回答