代码签名是对可执行文件或脚本进行数字签名以确认软件作者及保证软件在签名后未被修改或损坏的措施。此措施使用加密散列来验证真实性和完整性。代码签名可以提供几大功能价值。最常用的需求是代码签名为部署提供了安全性。在某些编程语言中,它也可用来帮助防止名字空间冲突。几乎每个代码签名的实现都提供某种数字签名机制来验证作者或构建系统的身份,以及校验对象是否未被修改。它也可用来提供对象相关的版本信息,以及存储对象的其他元数据。代码签名作为软件安全性依赖的效果取决于所支持签名密钥的安全性。与其他公钥基础设施(PKI)技术一样,系统的完整性依赖于发布者对其私钥免受未经授权访问的保护。存储在通用计算机的软件中的密钥易于受到影响。因此,将密钥存储在安全、防篡改的硬件密码设备(也称硬件安全模块,HSM)是更加安全的最佳实践。
签名代码的功能实现原理是什么?
代码签名的基础是PKI安全体系。代码签名证书由签名证书私钥和公钥证书两部分组成。私钥用于代码的签名,公钥用于私钥签名的验证和证书持有者的身份识别。
1. 发布者从CA机构(如VeriSign)申请数字证书;
2. 发布者开发出代码;借助代码签名工具,发布者将使用MD5或SHA算法产生代码的哈希值,然后用代码签名证书私钥对该哈希值签名,从而产生一个包含代码签名和软件发布者的签名证书的软件包;
3. 用户的运行环境访问到该软件包,并检验软件发布者的代码签名数字证书的有效性。由于VeriSign根证书的公钥已经嵌入到用户的运行环境的可信根证书库,所以运行环境可验证发布者代码签名数字证书的真实性;
4. 用户的运行环境使用代码签名数字证书中含有的公钥解密被签名的哈希值;
5. 用户的运行环境使用同样的算法新产生一个原代码的哈希值;
6. 用户的运行环境比较两个哈希值。如果相同,将发出通知声明代码已验证通过。所以用户可以相信该代码确实由证书拥有者发布,并且未经篡改。
签名代码的特点是什么?
1.代码签名证书可消除 Internet Explorer 以及 Windows 操作系统中弹出的「不明发行商」。
2.完整的时间戳服务包括免费的在你的代码上盖上时间戳以保证签名不会过期。每月签名次数不超过50次。 可以随时进行证书更换。
3.短时间之内快速反馈。
4.自证书审核完毕之日起,7 天内无条件退款。
5.一般都会有风险担保。
6.完善的在线服务电话和电子邮件技术支持。
7.免费证书安装状态检查。
营业执照公示信息