什么是软件代码数字签名?
各种各样包装软件,让人应接不暇,大家用什么防伪标志识别正版软件呢?在当今的网络时代中,很多软件开发商可以通过网络不受时间、地域的限制而快速发行自己的软件,但用户无法辨认软件的真伪和软件代码的真实身份。在没有间谍软件和木马程序之前,大家还能相信某个软件就是正版软件,但是互联网的匿名性使用户根本无法确认此软件是否真是正版软件。那么如何保证软件代码在网络传输过程中不会被非法修改或被病毒干扰,还能让用户非常清楚地识别软件发行者的真实身份呢?答案就是代码数字签名。
以QQ为例,如果某个程序没有数字签名,那么它的安全性是得不到保证的,相反如果这个程序有数字签名,那么就可以保证它没有被非法篡改或损坏。
软件代码数字签名采用的是PKI双钥技术。
开发商在自己电脑上生成私钥和证书CSR文件提交给实惠数字证书,同时提交有关身份证明文件(如:营业执照或证明等)给实惠查验,实惠验证身份后用自己的私钥给CSR文件签名后生成代码签名证书(公钥)给软件开发商。这样就完成了证书的申请和颁发。
开发商用代码签名工具给要签名的代码生成一个Hash表,再用其私钥加密Hash表产生认证摘要,接着就把摘要连同其公钥与软件代码一起打包生成新的软件代码,软件开发商就可以把已经签名的代码在网上发行了。
最终用户从网上下载已经签名的代码时,浏览器会从签名代码中解读出其公钥和Hash表摘要,并与Windows的受信任的根证书相比较查验公钥证书的有效性和合法性,验证签名证书正确后,就可以确认此代码确实是来自真实的软件开发商。
代码的一致性是使用签名时使用的算法对软件代码生成一个Hash表,并使用公钥也同样生成一个Hash表认证摘要,比较两个Hash表的认证摘要是否一致,如果一致,就表明此代码在传输过程中没有任何修改,从而可以确认代码的一致性。
从上述过程的简单介绍中可以看出:
(1)购买代码签名证书一定要从Windows内置的受信任的根证书颁发机构购买(如:实惠),否则无法通过验证。
(2)代码签名后不仅保证了软件开发商的真实身份,而且还保证了代码的完整性,以免代码被病毒干扰或被非法篡改。
(3)只有使用了Windows受信任的证书颁发机构(如:实惠)颁发的代码签名证书签名的代码才允许下载,所以,如果您要让您的代码能让用户放心地下载,就一定要申请实惠的代码签名证书。