时间戳签名库以及本地Demo服务器（可以倒填时间制造有效签名）

JemmyloveJenny · 发表于 2019-3-23 12:41

本帖最后由 JemmyloveJenny 于 2019-3-23 20:30 编辑

不了解时间戳签名作用的童鞋可以先去看一下我的上一个帖子，里面解释的比较详细了 https://www.52pojie.cn/thread-877849-1-1.html
主要作用就是让系统认为某个程序是在证书过期/吊销之前被签名的，通过系统的签名验证。
我原本没想要发布这个单独的时间戳程序，但是有很多人问我有关时间戳的问题，因此就把原来Java写的代码翻译到CSharp，做了一个时间戳签名库和它的Demo。
代码已开源，在 https://github.com/JemmyLoveJenny/TimeStampResponder-CSharp

自建时间戳服务器只需要一张自签名的时间戳证书和对应的私钥和证书链。
时间戳证书必须是X509v3证书，包含标记critical的ExtendedKeyUsage属性，ExtKU只允许证书用于时间戳签名。
证书文件如果不是自签名的，则还需要包含证书链。子证书在最上面，CA证书在最下面，就像部署SSL证书链那样操作。
私钥文件必须使用PKCS1编码保存，PKCS8无法识别。
Github和Release中都有从我PKI中签发出的时间戳证书，可以作为一个证书的样板。
虽然我的证书默认不受信，但是我还是不希望你们滥用它。

本地时间戳服务器的地址是 http://localhost/TSA/ 注意！这个Demo真的只是一个本地的服务，不能作为广泛使用的时间戳服务器。
因为我设置了只能从localhost访问，局域网内其他电脑访问不到这个时间戳服务。甚至用127.0.0.1或者::1都不可以！
Demo可以和IIS共用80端口，如果有Apache或者Nginx这类服务器绑定了80端口，那么Demo就无法正常启动，表现为要求以管理员身份运行。

程序使用HttpListener组件实现简单的HTTP服务，因此必须要求以管理员身份运行
程序成功运行后，这个地址支持 Authenticode 和 RFC3161 时间戳，也就是说，在微软signtool中使用 /t "<URL>" 或者 /tr "<URL>" 都是可以的，可以根据自己的需要打不同协议的时间戳（Authenticode时间戳兼容性比较好，支持XP）

自定义时间的话，就是在地址后面加上希望的时间（UTC时间，需要转换时区）。
格式为"yyyy-MM-dd'T'HH:mm:ss"
北京时间是UTC+8，所以地址后面的时间需要减掉8小时才能变成UTC时间。
举几个例子：
北京时间 2011-04-01 08:00:00，对应的时间戳地址是 http://localhost/TSA/2011-04-01T00:00:00
北京时间 2019-03-10 10:25:34，对应的时间戳地址是 http://localhost/TSA/2019-03-10T02:25:34

然后打时间戳就用微软的signtool，命令为【signtool timestamp /t "<URL>" <filename>】
如果是双签名，另加/tp参数指定签名序号，打两次时间戳【signtool timestamp /tp <index> /tr "<URL>" <filename>】

比如说，给我要给 test.exe 单签名打2011-04-01 08:00:00的时间戳，完整命令为【signtool timestamp /t "http://localhost/TSA/2011-04-01T00:00:00" test.exe】
如果 test.exe 有双签名，首先执行上一条命令，然后再用【signtool timestamp /tp 1 /tr "http://localhost/TSA/2011-04-01T00:00:00" test.exe】给第二个签名打时间戳

注意！自定义的时间戳日期最好接近证书的颁发时间，因为大部分泄露的证书已经被CA吊销，自定义的时间必须在证书吊销之前才能通过驱动签名验证！

最后是附件

Release.zip (811.4 KB, 下载次数: 816) 也可以到我的repo[https://github.com/JemmyLoveJenny/TimeStampResponder-CSharp]下载。

mycgb · 发表于 2019-8-17 01:38

支持原创作品!

JemmyloveJenny · 发表于 2019-5-31 15:49

wxg13949028456 发表于 2019-5-31 09:37
我用吊销后的证书[HT srl]签名这个内核驱动文件...用的digicert的时间戳,怎么也加载成功了...好神奇..

...

对，本来就可以这样干的……
内核不进行吊销检查，时间怎样检查我就不知道了……
但是我记得signtool好像要求有效时间戳签名的

shenxian2007 · 发表于 2019-3-25 12:13

作用的童鞋可以先去看一下我的上一个帖子

JemmyloveJenny · 发表于 2019-8-14 00:30

天心阁下发表于 2019-8-14 00:17
只本地测试的话完美，可惜没有泄露的时间戳证书

这种东西不可能有的

时间戳证书由CA保管，肯定也是HSM保存私钥的
如果HSM泄露了，那还要时间戳证书干嘛，直接拿CA中级证书和根证书私钥多好……

wjt12300 · 发表于 2019-3-23 16:31

谢谢楼主分享

titi183 · 发表于 2019-3-23 16:59

谢谢楼主分享

fands · 发表于 2019-3-23 19:50

值得收藏

a570168993 · 发表于 2019-3-24 07:57

谢谢楼主的分享

muandmule · 发表于 2019-3-24 07:58

谢谢楼主分享

时光荏苒97 · 发表于 2019-3-24 08:20

感谢分享哦

铁索横江 · 发表于 2019-3-24 09:15

提示: 作者被禁止或删除内容自动屏蔽

蓝色马蹄莲 · 发表于 2019-3-24 12:44

曾经我认为证书时间戳不能造假的，总认为要先黑掉时间证书服务器才能办到，现在特么服了。。。

JemmyloveJenny · 发表于 2019-3-24 13:27

蓝色马蹄莲发表于 2019-3-24 12:44
曾经我认为证书时间戳不能造假的，总认为要先黑掉时间证书服务器才能办到，现在特么服了。。。

我曾经也以为无法伪造，但后来发现
除了EV证书绿栏需要修改浏览器源码，驱动模式签名无法伪造交叉签名外
只要信任一张根证书，没有什么是无法造假的……

帐号		自动登录	找回密码
密码			注册[Register]

铁索横江铁索横江当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	8^# 铁索横江发表于 2019-3-24 09:15 提示: 作者被禁止或删除内容自动屏蔽
铁索横江铁索横江当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽
	回复举报

[原创工具] 时间戳签名库以及本地Demo服务器（可以倒填时间制造有效签名）

免费评分

本帖被以下淘专辑推荐:

浏览过的版块