以微软代码为例,为了保证微软 Windows系统的安全和用户安全,微软推出了 Microsoft Authenticode 技术,即微软认证码技术,此技术保证了只有使用了 Windows 的受信任的根证书颁发机构颁发的代码签名证书对软件代码数字签名后才允许在 Windows 上运行,从而保证了软件代码来自真实的发行者和保证软件代码没有被非法篡改。
软件开发商在自己电脑上生成私钥 (.pvk) 和证书请求文件 (CSR) 提交给天威诚信 ,同时提交有关身份证明文件 ( 如营业执照等 ) 查验, 验证身份后用自己的私钥给 CSR 文件签名后生成代码签名证书,也就是公钥 (.spc) 给软件开发商。这样就完成了证书的申请和颁发。
软件开发商用代码签名工具 ( 如: SignCode.exe) 给要签名的代码生成一个 Hash 表,再用其私钥加密 Hash 表产生认证摘要,接着就把认证摘要连同其公钥与软件代码一起打包生成签名后的新的软件代码,软件开发商就可以把已经签名的代码放到 上发行了。
最终用户从 上下载已经签名的代码时,浏览器会从签名代码中解读出其签名证书 ( 公钥 ) 和 Hash 表摘要,并与 Windows 的受信任的根证书相比较查验公钥证书的有效性和合法性,验证签名证书正确后,就可以确认此代码确实是来自真实的软件开发商。
接着,再使用签名时使用的同样算法对软件代码生成一个 Hash 表,并使用公钥也同样生成一个 Hash 表认证摘要,比较从代码中解包出来的 Hash 表认证摘要与生成的 Hash 表认证摘要是否一致,如果一致,则表明此代码在传输过程中未有任何修改,从而可以确认代码的一致性。
从以上整个过程的简单介绍,可以看出:
(1) 购买代码签名证书一定要从 Windows 内置的受信任的根证书颁发机构购买 ( 如: Thawte, VeriSign),否则无法通过验证。而通过人为的添加根证书到 Windows 受信任的根证书存储区,一来不可能要求所有 上用户在使用代码之前先下载和安装某个根证书,更重要的是,谁都可以人为添加的根证书不能保证签名证书的唯一性和权威性。
(2) 代码签名后不仅保证了软件开发商的真实身份,而且还保证了代码的完整性,以免代码被病毒干扰和被非法篡改。
(3) 只有使用了 Windows 受信任的证书颁发机构 颁发的代码签名证书签名的代码才允许下载,所以,如果您要让您的代码能让用户放心地下载,就一定要申请代码签名证书。
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22710 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!