如何将时间戳证书添加到 Linux 上的已签名 PE 文件?

How to add timestamp certificate to a signed PE file on Linux?

我需要在 Linux 上对 PE 文件(实际上是 EFI)进行数字签名和时间戳。我找到了 3 个用于签署 PE 文件的工具:pesignosslsigncodesigncode(单声道),但似乎 none 非常符合我的需要。问题是,密钥在硬件令牌上,无法导出。因此我必须创建一个证书数据库,在那里添加令牌驱动程序条目并通过该数据库工作。只有 pesign 允许这样做,但它不支持时间戳。 osslsigncodesigncode 支持时间戳,但不能使用数据库。

Windows signttool.exe 可以作为单独的步骤执行签名和时间戳。所以我想,我可能会使用 pesign 对文件进行签名,然后仅使用其他工具为其添加时间戳。但正如我发现的那样,osslsigncodesigncode 不支持单独的时间戳(在 osslsigncode 项目中,它列在 TODO 文件中,但在存储库中没有任何迹象)。

我是否遗漏了一些工具?是否有不太低级的库可以让我自己编写这样的程序? (最好是 C/C++/Perl/Python。)我试图从 osslsigncode 获取时间戳代码,但未能轻松地将其与先前的步骤分离(删除现有签名并添加新签名) ).

P.S。我也尝试在 wine 下 运行 signtool.exe,但是 1) 没能成功,2) 我不确定它是否合法(我不擅长分析 EULA)。

自 2015 年 3 月起,osslsigncode 中有一个 patch,它允许您通过 PKCS#11 令牌上的密钥对代码进行签名。它还不是正式版本的一部分。所以你必须自己构建它,但它对我来说很有魅力。

调用示例如下所示:

osslsigncode sign -pkcs11engine /usr/lib/engines/engine_pkcs11.so -pkcs11module /usr/lib/libeTPkcs11.so  -certs ~/mysigningcert.pem  -key 0:42ff -in ~/filetosign.exe -out ~/signedfile.exe

-pkcs11module开关以PKCS#11库为参数,-key的参数格式为slotID:keyID.

SignServer Enterprise Edition 支持使用 Authenticode 对 PE 文件进行签名和时间戳。

还通过 PKCS#11 接口支持硬件令牌。

SignServer 通常设置在单独的服务器或 VM 上,最好在 Linux 上运行(但也支持 Windows)。

您想要签名的文件可以简单地使用 HTTP POST 发送到服务器,然后响应就是签名的文件。

https://www.signserver.org/

当前 osslsigncode 有时间戳选项 -t:

osslsigncode sign \
  -pkcs12 cert.pfx -pass "**********" \
  -t http://timestamp.digicert.com \
  -in app.exe  -out app-sign-with-timestamp.exe

https://github.com/mtrojnar/osslsigncode