В Windows Vista уделяется большое внимание цифровым подписям драйверов

Особенность Vista и других более поздних ОС семейства Windows, работающих на 64 разрядном компьютере состоит в том, что для успешной установки программ, использующих режим ядра (kernel-mode), необходимо, чтобы они имели цифровую подпись.

Почему именно цифровые подписи?
Как для обычных пользователей, так и пользователей внутри предприятий, защита личной и деловой информации остается весьма важным вопросом. В связи с этим, Microsoft уделяет много внимания разработке новых способов предотвращения распространения вирусов, программ-шпионов и т.д. Применение цифровых подписей для программ, использующих режим ядра, является важным направлением работы по обеспечению защиты системы в целом. Во время установки программы, цифровые подписи помогают понять администраторам или обычным пользователям, был ли разработан данный продукт законно. Когда пользователь отправляет в Microsoft сообщение об ошибке в процессе установки, компания может проанализировать полученные сведения, чтобы определить, приложения каких издателей были активны во время ошибки. В последствии, причина ошибки может быть устранена, после совместной работы Microsoft и издателей проблемных приложений.


Что это означает для Windows Vista?
Это означает увеличение безопасности и стабильности платформы Windows. Значение этих изменений заключается в том что, начиная с Windows Vista:

Пользователь, не являющийся администратором, не сможет установить драйвер устройства, не имеющий цифровой подписи.
Драйверы устройств должны иметь подпись, что обеспечивает дополнительную защиту. Это касается аудио драйверов работающих в режимах Protected User Mode Audio (PUMA) и and Protected Audio Path (PAP), а так же драйверов видео устройств, которые обеспечивают безопасность команд при входе и выходе видео сигнала (PVP-OPM).
Программы, использующие режим ядра и не имеющие цифровой подписи не будут устанавливаться и не смогут работать на 64 разрядных компьютерах.
Примечание: Даже администраторы не смогут устанавливать программы без цифровой подписи. Это касается всех программных модулей, которые устанавливаются в режиме ядра, в том числе драйверы устройств, службы, работающие с ядром и т.д.
Чтобы ускорить проверку драйвера во время установки, бинарные файлы (содержащие двоичные данные или исполняемый код), кроме цифровой подписи, должны содержать Идентификационный Сертификат Издателя (PIC).

Что это означает для издателей программного обеспечения?
Для производителей программ, использующих режим ядра, данная политика несет следующее:

Для любых компонентов, работающих в режиме ядра, которые не имеют цифровой подписи, издатель должен получить и применить PIC, для того, что бы сделать возможным их работу в среде Windows Vista на 64 разрядном компьютере.
Производителям, которые уже зарегистрировались в Windows Logo Program или у которых есть подпись, гарантирующая надежность (Driver Reliability Signature), избавлены от необходимости дополнительной регистрации. Исключением являются случаи с драйверами начальной загрузки (boot-start drivers).
Драйверы начальной загрузки устройств должны иметь PIC. Это требование касается следующих устройств: CD-ROM, дисковые драйверы, ATA/ATAPI контроллеры, мыши и другие виды указателей, SCSI и RAID контроллеры, и системные устройства.
Вышеперечисленные требования касаются операционных систем Microsoft Windows Vista (для x64 систем) и Microsoft Windows Server (кодовое имя "Longhorn").

Более подробную информацию можно найти в Windows Driver Kit (WDK). В частности, там более подробно рассматриваются вопросы:

Как прописать код режима ядра в Windows Vista;
Как получить Идентификационный Сертификат Издателя (PIC -Publisher Identity Certificate);
Как овладеть руководящими принципами программирования для защиты ключей;
Как подписывать драйвер с помощью инструментов, которые есть в Windows Driver Kit (WDK).

Источник: http://winline.ru