3.3. ファイルシステムをセキュアに

3.3.1. WinCrypt

WinCrypt は Microsoft crypto API を使ってファイルの暗号化と署名を行います。 また、オプションとして、署名する前に選んだファイルまたはフォルダの zip アーカイブを作成します。 これは証明書の保存のフロントエンドを提供し、これによって、 ユーザはインストールされた証明書庫(Certificate Store)をブラウズし、 証明書をインストールしたり削除したり、 WinCrypt 署名に用いる証明書を選んだりすることができます。

証明書を作成する手続きは Microsoft Outlook と同様です。 実際、同じ証明書庫を用いていて、既にインストールされた証明書を Outlook 用に支持することも、その逆も可能です。

Wincrypt 署名ファイル filename.sgn は以下のように署名を検証できます:

openssl smime -verify -inform der -in filename.sgn -CAfile cacert.crt

コンパチブルなフォーマットを用いて、OpenSSL でファイルに署名するには:

openssl smime -sign -outform der -nodetach -out filename.sgn \
-signer certificate.pem -in filename.txt

署名されたファイルの構造を見るには:

openssl asn1parse -inform der -in filename.sgn