代码签名证书——辨别真假软件的天眼
2017-11-03 10:50
218 查看
恶意软件和高级持久威胁事件越来越多,许多软件供应商,在线服务提供商、企业IT组织、软件开发者都面临着软件代码被篡改的安全威胁。为了突破软件安全的窘境,CA机构颁发的代码签名证书对软件代码进行加密,对开发代码实施高度安全和高效的代码签名流程,从而保护其组织免受与软件篡改有关的风险。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/03/0e4fcec23bc41b03f9b2e96bf4de91a5.jpeg)
什么是代码签名证书
代码签名证书是对可执行文件和脚本进行数字签名,确认软件作者的过程,并保证代码在签名后未被更改或损坏,该过程使用加密散列来验证真实性和完整性。用户可通过对代码的数字签名来识别软件来源以及软件开发者的真实身份。
代码签名的工作原理
代码签名的的工作原理与SSL和SSH类似,也是由签名证书私钥和公钥证书两部分组成。当请求证书时生成公钥/私钥对,私钥用于代码的签名,公钥用于私钥签名的验证和证书持有者的身份识别。
代码签名证书作为数字签名。当软件开发者签署数据时,开发者将数字签名与数据一起包含。证书包含完全标识实体的信息,并由证书颁发机构颁发(如GDCA)之后,该机构已经验证了该实体的身份。当消息的发送方使用其私钥对消息进行签名时,消息收件人可以使用发件人的公钥来验证发件人的身份。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/03/3aa1212eb2300d482e076ec970ffc9bb.png)
代码签名证书的工作过程:
从代码签名证书颁发机构(如GDCA)申请代码签名证书验证身份并收到代码签名证书生成软件的单向散列,并使用私钥加密此散列将哈希和证书与可执行文件捆绑在一起当用户收到应用程序时,将通过以下方式验证:使用证书中的公钥解密散列创建下载的应用程序的新哈希值将新哈希与由证书签名的哈希进行比较如果两个哈希值相匹配,用户知道该应用程序自签署后尚未被修改。这些步骤大多由操作系统自动处理。
开发者可通过代码签名证书防止软件代码被非法篡改,确保软件代码的完整证,实现自主研发成果的安全保护。用户可通过代码签名证书识别软件开发者的真实身份,辨别真伪软件。可见,代码签名证书是软件代码的安全保护者,可支持签署不同类型的代码。
文章来源于https://www.trustauth.cn/wiki/22883.html
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/03/0e4fcec23bc41b03f9b2e96bf4de91a5.jpeg)
什么是代码签名证书
代码签名证书是对可执行文件和脚本进行数字签名,确认软件作者的过程,并保证代码在签名后未被更改或损坏,该过程使用加密散列来验证真实性和完整性。用户可通过对代码的数字签名来识别软件来源以及软件开发者的真实身份。
代码签名的工作原理
代码签名的的工作原理与SSL和SSH类似,也是由签名证书私钥和公钥证书两部分组成。当请求证书时生成公钥/私钥对,私钥用于代码的签名,公钥用于私钥签名的验证和证书持有者的身份识别。
代码签名证书作为数字签名。当软件开发者签署数据时,开发者将数字签名与数据一起包含。证书包含完全标识实体的信息,并由证书颁发机构颁发(如GDCA)之后,该机构已经验证了该实体的身份。当消息的发送方使用其私钥对消息进行签名时,消息收件人可以使用发件人的公钥来验证发件人的身份。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/03/3aa1212eb2300d482e076ec970ffc9bb.png)
代码签名证书的工作过程:
从代码签名证书颁发机构(如GDCA)申请代码签名证书验证身份并收到代码签名证书生成软件的单向散列,并使用私钥加密此散列将哈希和证书与可执行文件捆绑在一起当用户收到应用程序时,将通过以下方式验证:使用证书中的公钥解密散列创建下载的应用程序的新哈希值将新哈希与由证书签名的哈希进行比较如果两个哈希值相匹配,用户知道该应用程序自签署后尚未被修改。这些步骤大多由操作系统自动处理。
开发者可通过代码签名证书防止软件代码被非法篡改,确保软件代码的完整证,实现自主研发成果的安全保护。用户可通过代码签名证书识别软件开发者的真实身份,辨别真伪软件。可见,代码签名证书是软件代码的安全保护者,可支持签署不同类型的代码。
文章来源于https://www.trustauth.cn/wiki/22883.html
相关文章推荐
- 黑客利用恶意软件窃取用户数据,通过代码签名证书加强安全防护
- 十大恶意软件让安卓手机成为噩梦,移动代码签名证书重要性大增
- 十大恶意软件让安卓手机成为噩梦,移动代码签名证书重要性大增
- 软件代码数字签名基本原理
- Windows 无法验证此设备所需的驱动程序的数字签名。最近的硬件或软件更改安装的文件可能未正确签名或已损坏,或者可能是来自未知来源的恶意软件。 (代码 52)
- 代码签名证书与数字签名常见10个问题
- 微软将停止接受用于SSL和代码签名的SHA1证书
- https自签名证书验证相关代码
- IOS证书/私钥/代码签名/描述文件
- 代码签名证书与数字签名常见10个问题
- 细数代码签名证书的作用
- java-信息安全(十三)-数字签名,代码签名【Java证书体系实现】
- 程序签名+代码混淆+软件授权
- Thawte 企业版代码签名证书
- 微软将停止接受用于SSL和代码签名的SHA1证书
- 【每日安全资讯】黑客正在销售合法的代码签名证书
- 网络安全系列连载(5)利用数字证书进行代码签名
- Adobe AIR 代码签名证书使用指南
- 手机软件管家 V0.12 申请手机证书、下载软件免签名自动安装