digital-certificate - 如何检查文件是否具有数字签名

Question

我想以编程方式检查文件是否经过数字签名。

目前，我发现了一个相当晦涩的 code in MSDN ，这不编译...

关于这个主题的任何想法？

顺便说一句，带有命令行的外部工具也很棒。

Answer 1

提到signtool的答案中缺少的重要部分是:

是的，使用众所周知的 signtool.exe，您还可以查明文件是否已签名。无需下载其他工具!

例如。用简单的线:

signtool verify /pa myfile.exe
if %ERRORLEVEL% GEQ 1 echo This file is not signed.

(对于详细的输出，在 '/pa' 后添加一个 '/v'。)

有人可能会问:为什么这很重要？我只是(再次)签署文件，这些文件将被签署并且它可以工作。

我的目标是保持构建干净，并且不要再次签署文件，因为不仅日期发生了变化，而且之后的二进制文件也不同。

业务示例:
我的客户有一个简化的自动化“开发操作”类构建和构建后流程。不同的文件集有多个来源，最后所有文件都经过构建、测试和捆绑分发——为此，必须对某些文件进行签名。为了保证某些文件未经签名就不会离开设备，我们曾经对所有重要文件进行签名，即使它们已经签名。

但这还不够干净:

1) 如果我们再次对一个已经签名的文件进行签名，文件日期和二进制指纹会发生变化，并且如果它只是简单地复制，则该文件将失去与其来源的可比性。
(至少如果你用时间戳签名，我们总是这样做，我认为这是强烈推荐的。)

这是严重的质量损失，因为此文件不再与来自其他文件源的前辈文件相比。

2)如果我们再次签署文件，这也可能是一个错误，它是第三方文件，不应由您的单位签署。

您可以通过根据前面提到的“signtool verify”调用的返回代码使签名本身成为条件来避免这两种情况。