Aus dem Ursprungs-Artikel:
Darum meine Frage nach der Version des .NET-SDK.

KalwaDOS

Das wollte Bernhard doch mal wissen. Wie geht das denn?

@KalwaDOS: Vielleicht sind diese Dateien ja auch in diversen SDKs drin. Hab gerade nochmal nachgeschaut, im bin-Ordner des Platform SDK for Win Server 2003 R2 sind beide Dateien definitiv enthalten.

@sh17: Im PE-Header (evtl. auch schon im MZ, müsste ich nachsehen) steht der Offset zur Signatur. Die Datei ab diesem Offset abschneiden, und den Offset auf 0 setzen. SecureBlackbox ist auch ne nette Sammlung, die nen Authenticode-Teil beinhaltet, der das imho auch kann.

Definitiv enthalten ist signtool.exe im .Net 2.0 SDK (371 MB)

Ich grabe mal hier diesen Thread aus:

Kennt jemand ne Seite, wo die Vor und Nachteile von den verschiedenen Zertifizierungsstellen gegenüberstellt werden?

Also, was kann ich mit einem Zertifikat von veriSign mehr machen als mit einem Zertifikat von Comodo?

Prinzipiell brauche ich mal "nur" die zertifizierung von "normalen" exe, von services (dll bzw. exe)
was noch nett wäre, wenn man auch dll signieren könnte, die dann in outlook oder andern Programmen verwendet werden.

Kann man (was ja nur bei VeriSign geht oder?) dieses Winqual auch gut nutzen?
Nutze im Moment ne eigene ExceptionHandling, das eine sehr detailierte Exception Report erstellt, was ist da der vorteil von dem Winqual, und läuft das auch gut mit Delphi?

Zertifikate sind so ein Schwachsinn...

Man zahlt Geld an Verisign usw. und die geben einem ein Zertifikat, dies sagt aber nix darüber aus, ob mein Programm vertrauenswürdig ist oder nicht, es sagt nur aus, daß ich bei zB Verisign bereit war Geld auszugeben...mehr nicht.

Ich kann ein richtig böses Programm schreiben.
Dann kaufe ich ein Zertifikat von Verisign usw. und benutze es in meinem bösen Programm.

Verisign und die anderen prüfen weder mein Programm noch meine Identität.

Zertifikate = der größte Schwachsinn seit es Programme gibt bzw. ne geile Idee mit nix Geld zu verdienen

Aber sie können nach bekannt werden der Boshaftigkeit das Zertifikat für ungültig erklären und damit würde es zu Problemen führen bei der Nutzung deines Programmes bzw. einen deutlicheren Hinweis geben. Die Zertifikate aktualisiert Windows automatisch öfters.

Ob Schwachsinn oder nicht, wenn man kommerziell Geld mit Programmen verdient, dann kann man schon mal etwas Geld ausgeben, damit der Benutzer zumindest sicherstellen kann, das dieses Programm von meiner Firma kommt, und da die benutzer mir trauen, wissen die dann zumindest, aha, das kann ich ohne probleme ausführen.

Nur bin ich mir noch nicht sicher, ob man diese billigen von http://www.ksoftware.net/code_signing.html auch verwenden kann, oder ob man dann später mal drauf kommt, wäre doch eines von verisign besser gewesen

Dann ist es doch schon zu spät...ich als "Böser" hab doch in dem Moment schon erreicht was ich wollte

Die Identität wird beim Kauf eines Zertifikates nicht überprüft, ich könnte auch vorgaukeln ein anderer zu sein.