3

WinVerifyTrust を使用してファイルの署名を検証しています。

インターネットへの接続が非常に悪いため、ローカル キャッシュのみを確認したい。

問題は、 WinTrustDataでパラメーターを設定する方法について混乱していることです。

fdwRevocationChecksについて- ドキュメントは次のとおりです。

WTD_REVOKE_NONE フラグが WinVerifyTrust 関数の pgActionID パラメータで設定された HTTPSPROV_ACTION 値と組み合わせて使用​​される場合、追加の失効チェックは行われません。コード署名の検証時に WinVerifyTrust 関数がネットワーク取得を試行しないようにするには、dwProvFlags パラメータで WTD_CACHE_ONLY_URL_RETRIEVAL を設定する必要があります。

「追加の失効チェックなし」とは何を意味しますか? また、何に加えて? CRL を使用して失効チェックを行いますか? このフィールドを *WTD_REVOKE_WHOLECHAIN* に設定すると、オンラインでもチェックされますか?

WTD_CACHE_ONLY_URL_RETRIEVAL を設定すると、インターネットから失効リストを取得しようとしないことを確認するのに十分ですか?

結論: CRL チェックがあることを確認する方法はありますが、オンライン チェックはありません。

ありがとう

4

1 に答える 1

5

fdwRevocationChecks を WTD_REVOKE_NONE に設定し、WTD_CACHE_ONLY_URL_RETRIEVAL フラグを dwProvFlags に追加する必要がありますこれにより、埋め込まれた署名を検証するときに、WinVerifyTrust がキャッシュされた CRL のみを参照するようになります。

于 2014-01-28T14:42:38.860 に答える