OSSLSignCode: Инструмент для подписи кода и проверки цифровых подписей

OSSLSignCode — утилита с открытым исходным кодом для подписи исполняемых файлов и проверки цифровых подписей с использованием криптографических библиотек OpenSSL. Инструмент предназначен для создания, добавления, извлечения и верификации подписей в форматах Authenticode (PE, MSI, CAB) и других, поддерживая гибкую настройку параметров подписи и работу с различными типами сертификатов.

↗️OSSLSignCode предоставляет функциональность, аналогичную стандартной утилите signtool из Windows SDK, но с открытым исходным кодом и поддержкой различных платформ. Инструмент позволяет:
▶️создание цифровых подписей для PE-файлов (.exe, .dll), MSI-пакетов, CAB-архивов
▶️получение встроенных подписей из подписанных файлов
▶️очистку файлов от существующих цифровых подписей
▶️верификацию целостности и подлинности подписанных файлов
▶️добавление timestamp от доверенных служб

⬇️Установка

sudo apt install osslsigncode

Проверка

osslsigncode -h

⏺️Базовая подпись исполняемого файла с описанием и временной меткой

osslsigncode sign \
  -pkcs12 code_signing_cert.p12 \
  -pass secure_password \
  -n "Application Name" \
  -i https://company.com \
  -t http://timestamp.digicert.com \
  -h sha256 \
  -in app.exe \
  -out app_signed.exe

Подписание файла с указанием описания, URL компании, добавлением доверенной временной метки и использованием современного хеш-алгоритма SHA256.

⏺️Подпись MSI-инсталлятора

osslsigncode sign \
  -pkcs12 cert.p12 \
  -pass password \
  -add-msi-dse \
  -t http://timestamp.digicert.com \
  -in installer.msi \
  -out installer_signed.msi

Специализированная подпись для MSI-пакетов с обязательным флагом -add-msi-dse, обеспечивающим корректную работу цифровой подписи.

⏺️Проверка подписи с полной валидацией цепочки сертификатов

osslsigncode verify \
  -in app_signed.exe \
  -CAfile trusted_roots.pem \
  -CRLfile crl.pem \
  -verbose \
  -require-leaf-hash sha256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Комплексная проверка подписи, включающая валидацию по доверенным корневым сертификатам, проверку списков отзыва (CRL) и требование конкретного хеша листового сертификата для исключения подмены.

⏺️Извлечение подписи для анализа

osslsigncode extract-signature -pem -in app_signed.exe -out signature.pem

Извлечение встроенной подписи в PEM-формате для последующего анализа структуры PKCS#7, проверки сертификатов или интеграции с другими криптографическими инструментами.

⏺️Добавление временной метки к уже подписанному файлу

osslsigncode add \
  -t http://timestamp.sectigo.com \
  -in app_signed.exe \
  -out app_with_timestamp.exe

Обновление существующей подписи путем добавления актуальной временной метки без повторного подписания, что продлевает срок доверия к подписи после истечения сертификата.

🎇Ограничения и требования
- Требует установленной OpenSSL (версии 1.1.1 или 3.x)
- Поддерживаются PE, MSI, CAB
- Требуются действительные сертификаты подписи кода
- Для установки могут потребоваться права администратора

#OSSLSignCode #OpenSSL #tool #pentest #PKCS12 #MSI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером