1、什麼是代碼簽名證書?為什麼需要代碼簽名證書?
代碼簽名為代碼或內容創建一個數字化的“身份包裝”,這個“包裝”可以向用戶證明為這些代碼或內容負責的公司的身份,並且確認這些代碼或內容自被簽名起從未被修改過。在傳統的軟件銷售中,用戶可以通過檢查產品的包裝來確認其所購買的程序的來源和完整性。現在,用戶越來越多的在線下載軟件,安裝插件,使用各種基於Web的應用程序。在這過程中,惡意代碼或者不完善的代碼使得用戶面臨著極大的安全風險。數安時代GDCA代碼簽名可幫助軟件開發商開發的軟件代碼進行加密。防止被他人偽造和篡改,從而保護軟件開發商的品牌和知識產權。
2、需要哪種代碼簽名證書?
因為代碼加密的需求不同,需要的代碼簽名證書的需求也是不同的。數安時代GDCA根據用戶的需求提供兩種代碼前面證書:EV 代碼簽名證書和標準型代碼簽名證書。其中標準代碼簽名證書是按照數安時代GDCA的標準審查、私鑰存儲在開發人員工作站本地;而EV 代碼簽名證書是擴展驗證代碼簽名證書,具有標準代碼簽名證書的所有功能,能簽名內核代碼。EV代碼簽名證書與標準代碼簽名證書不同的是採用更加嚴格國際標準擴展驗證(Extended Validation:EV驗證),並且有嚴格的證書私鑰保護機制–必須採用 USB Key來保護簽名證書的私鑰,以防止證書被非法盜用,確保代碼簽名證書安全。
3、購買一個代碼簽名證書需要多長時間?
在代碼簽名證書申請過程中,數安時代GDCA會收集代碼開發商(個人)的相關信息用以確定開發商的身份。確認過程可能會需要幾個小時,有時候甚至需要幾天,這取決於代碼開發商所提供的信息是否充分。
4、數字簽名的有效期是多長時間?
軟件開發商購買的每張代碼簽名證書都會被指定一個有效期。軟件開發商可以在證書有效期內使用自主的代碼簽名證書反覆簽署自主研發的代碼。但是當數字證書過期後,所有基於此數字證書的數字簽名都會過期,除非簽名中包含時間戳。時間戳選項顯示代碼是何時被簽署的,這可以讓用戶去驗證這個數字簽名是在代碼簽名證書有效的時候被簽署的。
5、代碼簽名證書是如何工作的?
代碼或者內容的簽署基於公鑰加密體系。開發者或軟件的發佈者使用私鑰給一段代碼或者內容加上一個數字簽名。軟件平臺或者應用程序平臺在這些代碼或者內容下載過程中使用公鑰來解密這個簽名,同時比較下載程序的哈希值和程序被簽署的時候的哈希值是否一致。通過可信的來源簽署過的代碼可能會被自動接受,也可能提示用戶一個安全警告,讓用戶決定是否相信並接受這個代碼。
6、其他人如何能信任代碼開發商的簽名?
由於證書的申請者必須經過嚴謹的身份驗證過程,所以第三方CA(數安時代GDCA)簽發的證書比自簽發證書更受信任。當軟件平臺或者應用程序平臺驗證數字簽名的時候,它們通過“根證書”來決定是否信任該CA頒發的證書。代碼開發商也可以自簽署自己開發的代碼,但必須確保所有獲得代碼的使用者都已獲得了自簽證書的根證書。否則,使用者無法識別開發者自籤的證書。數安時代GDCA所頒發的根證書已經通過Webtrust認證,已獲得絕大部分信任。
7、如果軟件開發商的私鑰丟失或者洩露了怎麼辦?
如果軟件開發商的私鑰丟失、洩露,或者軟件開發商的信息有任何改變,軟件開發商應該立即撤銷自主的代碼簽名證書,並向CA機構重新申請證書,用新的證書替換原來的證書。
8、軟件開發商需要簽署 cab 包裡面的所有文件,還是隻需要簽署 cab 包本身?
對於 Microsoft Windows® 應用程序,開發者只需要用相應的代碼簽名證書籤署 .cab 文件即可。對於 Windows Mobile® 應用程序,所有的可執行文件都必須簽署。VeriSign® Flexible Signing Account 可以在簽署 .cab 文件的時候自動簽署其中所包含的所有可執行文件。
9、需要幾張代碼簽名證書?
基於安全性和可管理性考慮,數安時代GDCA建議開發者另外購買,而不是共享代碼簽名證書。如果一張代碼簽名證書被洩露,這張證書必須被撤銷,同時所有用這張證書籤署的程序都會失效。為方便使用起見,建議為每個開發平臺購買一張代碼簽名證書。可以通過一個平臺的代碼簽名證書籤署其他平臺的代碼。然而,不同平臺的數字證書格式是不一樣的。要跨平臺使用代碼簽名證書需要使用另外的工具來轉換證書格式。
文章轉載https://www.trustauth.cn/wiki/26181.html
閱讀更多 GDCA數安時代 的文章
