Как проверить список отзыва только из CRL?

Question

Я использую WinVerifyTrust для проверки подписи файла.

подключение к Интернету очень плохо, поэтому я хочу проверить только локальный кеш.

Проблема заключается в том, что я запутался о том, как я должен установить параметры в WinTrustData

относительно fdwRevocationChecks - документация выглядит следующим образом:

Никакой дополнительной проверки отзыва не будет сделано, когда Флаг WTD_REVOKE_NONE используется в сочетании с значением HTTPSPROV_ACTION, установленным в параметре pgActionID функции WinVerifyTrust. Чтобы гарантировать, что функция WinVerifyTrust не пытается извлечь сеть при проверке подписи кода, WTD_CACHE_ONLY_URL_RETRIEVAL должен быть установлен в параметре dwProvFlags.

Что значит «не проверять Нет дополнительные отзыва» - в дополнение к чему? он делает проверку отзыва с помощью CRL? если я установил это поле в * WTD_REVOKE_WHOLECHAIN ​​*, он тоже проверит онлайн?

Если я установил WTD_CACHE_ONLY_URL_RETRIEVAL, достаточно ли этого, чтобы убедиться, что он не попытается получить список аннулирования из Интернета?

Суть: как я убеждаюсь, что есть проверка CRL, но есть не любой онлайн-проверки.

Благодаря

Answer 1

Вы должны установить fdwRevocationChecks в WTD_REVOKE_NONE и также добавить флаг WTD_CACHE_ONLY_URL_RETRIEVAL в dwProvFlags. Это гарантирует, что WinVerifyTrust будет выглядеть только в кэшированном CRL при проверке встроенной сигнатуры.