在目前木馬和病毒橫行的互聯網環境下,當開發者或發行者将軟件、控件、驅動程序等發布到網上時,就必須考慮程序能否被用戶安全的使用,而這恰是一個棘手的問題。近年來,不時曝出應用軟件被黑客植入惡意代碼的報道,感染了惡意代碼的軟件不僅會給用戶造成不便或危害,更會降低用戶的信任度并損害開發者的名譽,同時也是對開發者知識産權的踐踏。針對這種情況,開發者或發行者需要一種途徑可以提示用戶不要安裝那些表面正常,但實際已被惡意代碼侵入的程序。而目前最佳的途徑就是利用代碼簽名證書對程序代碼進行數字簽名,通俗點講就是對軟件代碼進行認證。那麼,代碼簽名證書是如何保護開發者和用戶們的權益呢?
什麼是代碼簽名證書
代碼簽名證書是一張數字證書,它的實現基礎是PKI/CA(公鑰基礎設施/第三方認證授權機構)安全體系。代碼簽名證書通過CA簽發,确立其可信性、公正性;通過PKI體系中的公、私鑰技術實現加、解密和簽名。代碼簽名證書在簽發後可以封裝在程序安裝包中,當用戶下載了經過簽名的安裝包并進行安裝時,計算機會自動驗證該代碼的可信性,并提示用戶可以放心下載和使用。
而經過代碼簽名證書認證的軟件在安裝時,發行者身份一目了然,來源更為清楚:
同時,用戶還還可以查看代碼簽名證書的詳細信息:
如何選用代碼簽名證書?
開發者一定要從Windows操作系統内置的受信任的根證書頒發CA機構購買代碼簽名證書,否則無法通過驗證,也就是如果使用了不受信任的代碼簽名證書,計算機系統仍會按“未知發行者”進行警告。同時,對于國内的軟件開發者來說,從防止技術信息洩露的角度考慮,可優先選擇根證書系統建在國内的國産代碼簽名證書。目前,我國隻有CFCA(中國金融認證中心)在國内自建了代碼簽名證書根證書系統(非從國外收購、遷移、交叉簽名),同時其證書通過WebTrust國際安全審計認證,獲得全球信任,可以全球通用。
目前,CFCA提供兩種類型的代碼簽名證書。其中,OV型(組織型)代碼簽名證書使用SHA256簽名算法,能為軟件代碼提供安全身份認證,可以滿足絕大多數發行者的需求。而對于部分對軟件開發安全及用戶體驗有較高需求的開發者來說,可以選用EV型(增強型)代碼簽名證書。EV型證書存儲在Ukey中,存儲安全性更高,同時配有時間戳系統,從時間上進一步增強代碼簽名的可信性和認證強度。由于安全系數和認證強度的提高,EV型代碼簽名證書可以獲得操作系統更高的信任待遇,例如在微軟的APP Store中,如果使用了EV證書,會有額外的信任度标識,帶給用戶更佳的信任體驗。
中國電子銀行網 陳碩
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!