ЭЦП средствами Windows

Был случай, когда злоумышленники получили по вымышленным документам сертификат на имя самой компании Майкрософт. По крайней мере подписывать ActiveX они им могли бы, если бы вовремя это дело не заметили.

Сравнивать PGP и систему сертификации не совсем корректно. Всё дело в предпочитаемой Вами модели доверия, которая разная в этих системах (централизованная или распределённая).

А как происходит подписание? С помощью специальной программы или нужно топать в центр сертификации или ещё что-то?
И повторю вопрос: нету ли ошибок в реализации такой подписи? В PGP случается находят уязвимости, их оперативно исправляют. А исправить систему проверки не-PGP подписи (как, кстати её правильно называть?) будет много сложнее.

А как происходит подписание? С помощью специальной программы или нужно топать в центр сертификации или ещё что-то?

Если вы будете пользоваться средствами, которые для подписания используют сертификаты X.509, то да, вам нужно получить сертификат, а значит обратиться в один из удостоверяющих центров, дальнейшее зависит от ваших целей. Если это почта, то дополнительных программ не нужно, если подписание файлов, то очевидно нужно будет иметь одну из программ. Если вы будете использовать PGP или GPG, вы сами можете сгенерировать ключевую пару, далее вы сможете подписывать и шифровать почту и файлы.

И повторю вопрос: нету ли ошибок в реализации такой подписи? В PGP случается находят уязвимости, их оперативно исправляют. А исправить систему проверки не-PGP подписи (как, кстати её правильно называть?) будет много сложнее.

Если сравнивать PGP со средствами подписания Microsoft в плане найденных уязвимостей, допущенных при реализации ПО, то я бы сказал, что Microsoft очень проигрывает, если не сказать очень сильно. Причин несколько.
1. Система Windows закрыта, в отличии от PGP (а это важно!)
2. Средства подписания Windows не имеют пристального внимания со стороны ведущих криптоаналитиков, как PGP
3. PGP это специлизированная программа, содержащая ряд всех необходимых дополнительнеых мер защиты.
4. PGP уже имеет заслуженный авторитет на рынке именно криптографического ПО

Ну и можно конечно долго говорить о том, что Windows в целом не отличается качеством своих встроенных криптопродуктов, это общепризнанных факт, о том, что это слишком большой программный код да большинство хакеров ошибки стараются найти где-нибудь в другом месте системы. Ну и т.п.
И заметте, ошибка в криптопрограмме равнозначна ее провалу, в отличие от ошибки скажем в MS Word, где она грозит может быть только временными неудобствами.

В дополнение отмечу, что помимо Майкрософтовских есть ещё ряд средств-криптопровайдеров, предназначенных для подписания кода (о чём спрашивал Lemtoks). Есть, однако, важный нюанс: всякий сертификат X.509 имеет набор расширений, обозначающих, для каких целей его допустимо применять. Так вот нельзя просто взять обычный почтовый сертификат и подписать им исполняемый файл или dll-библиотеку. Нужно либо самостоятельно сгенерировать самоподписанный сертификат с расширением code signing, либо купить его за большие деньги у одного из УЦ.

смотря о какой подписи идет речь. думаю, что реализация RSA и алгоритмов хеширования в Windows вполне подходит для создания цифровой подписи (не сертификат)