Firmare eseguibile

[bonmario]

Ciao a tutti,
scusate se non sarò preciso, ma sono cose abbastanza nuove per me ...

Ieri, poco prima di uscire dal lavoro, ho scoperto che dopo un aggiornamento dell'antivirus aziendale, alcuni miei eseguibili creati con Lazarus vengono cancellati perché "potenzialmente pericolosi".
Ho chiesto all'Ufficio Tecnico, e mi hanno detto che uno dei problemi è che gli eseguibili non sono firmati, e l'altro è che fanno operazioni "potenzialmente pericolose".
Al momento non so altro ...
Tenete conto che uno dei programmi in questione è quello che uso per farmi i backup da circa 20 anni, e che mi ha salvato diverse volte, sarebbe un dramma non poterlo usare.
P.S. Quando l'ho fatto presente, mi hanno risposto che per i backup devo usare OneDrive 

Domanda: per firmare l'eseguibile, basta compilare i dati in "Informazioni di versione", che si trova nelle opzioni del progetto?

Grazie, Mario

[schumi]

ciao,
mi pare che si intenda aggiungere una chiave personale, come la firma dei PDF. Non l'ho mai fatto ma prova a cercare SignTool.

Per l'antivirus basta che vengano inserite le esclusioni in base alle directory e nome file.

[DragoRosso]

Ciao, io firmo normalmente i programmi perchè da tempo, come per te, gli uffici IT dei clienti li vogliono firmati.

Da quest'anno ho la firma digitale EV (Extended Validation) che consente di firmare anche i driver di Windows.
Costa un botto, oltre ad avere un percorso amministrativo per il rilascio non proprio semplice (ci vuole circa 1 mese di tempo per il primo rilascio e una infinità di "domande" / "risposte")

Come privato puoi solo optare per una firma OV che costa meno e ha un valore di firma un pò "minore" ma comunque sufficiente a fare passare i controlli ai tuoi software (la EV dà un punteggio maggiore allo scan degli antivirus, garantendo una migliore affidabilità, mentre la OV dà un punteggio più basso). Esiste sia con token USB fisico che su Cloud (in questo caso ha la necessità di avere Internet disponbile al momento della firma).

Il software firmato e dotato di un marcatura temporale (sono gratutite fortunatamente per la marcatura degli eseguibili) non scade mai, anche se la firma risulta scaduta (ovviamente non deve essere revocata).

mi pare che si intenda aggiungere una chiave personale, come la firma dei PDF. Non l'ho mai fatto ma prova a cercare SignTool.

Il processo e l'"oggetto" sono simili, ma la firma è diversa. La firma digitale qualificata non è sufficiente per la firma degli eseguibili (la firma è di tipo SHA1 nel caso dei programmi ed è "obsoleta" mentre è SHA256 per i PDF ed è OK).

Per l'antivirus basta che vengano inserite le esclusioni in base alle directory e nome file.

Se è sotto gli IT, non gli lasceranno aggiungere una esclusione ovviamente.

Comunque poi il processo di firma è semplice tramite "signtool" di Microsoft come indicato da @schumi o altri tools simili di terze parti.
Qualsiasi eseguibile che io generi (in questo caso con Delphi), parte uno script che lo firma (ammesso che abbia il token USB inserito nel PC).

[DragoRosso]

Domanda: per firmare l'eseguibile, basta compilare i dati in "Informazioni di versione", che si trova nelle opzioni del progetto?
Grazie, Mario

Mi sono dilungato in spiegazioni varie ma non ho risposto puntualmente alla tua domanda.

No, la firma deve essere effettuata tramite un programma (come signtool) e un certificato personale su token USB o su Cloud. Questi certificati vengono rilasciati da enti certificatori riconosciuti Possono essere richiesti da privati o piccole realtà (certificati OV) oppure solo per chi ha una attività con Partita IVA ci sono i certificati EV.

Le firme digitali qualificate che servono a firmare i documenti come i PDF o per altre attività non possono firmare un eseguibile, penso sia un limite solo "commerciale" imposto visto che le firme digitali costano qualche decina di Euro, mentre i certificati di frima eseguibili costano centinaia di Euro.

Tra i principali ci sono:

1) Certum (Europeo);

2) DigiCert;

3) Sectigo;

[bonmario]

Ok, grazie a tutti per le risposte, ma a questo punto rinuncio, sperando che la cosa arrivi a chi deve arrivare, e faccia cambiare idea al reparto IT.

I programmi in questione, sono fatti ad uso e consumo dell'azienda per cui lavoro, e servono ad automatizzare e velocizzare determinate operazioni.
Alcuni di questi girano da una ventina di anni ...
E' assurdo che vengano cancellati perché da un giorno all'altro qualcuno ha deciso che non sono sicuri perché non sono firmati