摘要:代码签名只是一种保证,即程序或软件下载的代码在发布者签名后不会被破坏和篡改。这是一个简短的解释,因此在以下部分中,我们将探讨代码签名的工作原理及其重要性。
什么是代码签名?
代码签名只是一种保证,即程序或软件下载的代码在发布者签名后不会被破坏和篡改。这是一个简短的解释,因此在以下部分中,我们将探讨代码签名的工作原理及其重要性。
就像您在登录银行账户时希望确保密码是提供给目标银行而不是中间人攻击者一样,最好确保您下载的程序和更新是安全的,并且来自可靠的发布者。为此,我们使用相同的公钥基础设施。
代码签名有哪些好处?
代码签名是一种将数字签名放在程序、文件、软件更新或可执行文件上的方法,以便在安装和执行时验证其真实性和完整性。就像蜡封一样,它向接收者保证作者是谁,并且它没有被打开和篡改过。微软开发人员、程序员和软件工程师使用代码签名来证明,例如,你的Windows10更新来自微软,而不是试图入侵你电脑的黑客。
代码签名可以确保你下载的文件来自正确的作者/发布者,而不是来自想要窃取你的信息和数据的攻击者。从本质上讲,它让你知道代码没有被坏人更改,所以你知道它可以安全地安装和运行在你的机器上。
代码签名的一些示例
如果您曾经看到过在尝试运行下载的程序时弹出的小窗口,其中列出了发布者并询问“您确定要运行此程序吗?”,那么您就看到了代码签名的实际作用。该对话框告诉您,它确实是AppleInc.为您的MacOSX提供的软件补丁,并且它仍处于签名时的状态。
代码签名如何工作?
从开发人员的角度来看,代码签名过程涉及3个主要组件:1)代码签名证书2)代码签名应用程序3)未签名的软件文件。代码
签名应用程序通常随操作系统提供,例如Microsoft Windows、MacOSX等。代码签名证书通常来自证书颁发机构(CA)。让我们仔细看看该过程的工作原理以及所涉及的关键概念。
什么是代码签名证书?
开发者在签署自己的作品之前,需要生成一对公钥/私钥对。这通常是通过诸如“openssl”之类的软件工具在本地完成的。然后,开发者将公钥和组织的身份信息交给值得信赖的CA。CA验证身份信息的真实性,然后向开发者颁发证书。这是由CA的私钥签名的代码签名证书,其中包含开发者组织的身份和开发者的公钥。
当开发人员准备“签署”其作品以确立作者身份时,他们会拿出自己编写的所有代码,然后对其进行哈希处理。然后使用上述私钥(通常由作者生成)以及包含公钥和作者身份(证明作者身份)的代码签名证书对生成的值进行编码。然后将此过程的输出添加到要发布的软件中。
这构成了代码签名操作。CA的公钥已预装在大多数浏览器和操作系统信任库中。当用户下载软件时,他们首先使用CA的公钥验证签名软件中嵌入的代码签名证书的真实性,以确认它来自值得信赖的CA。然后从证书中提取开发人员的公钥并将其用于解密加密的哈希值。
然后,软件再次进行哈希处理,并将新值与解密值进行比较。如果用户的哈希值和开发人员的哈希值匹配,则表示软件在传输过程中没有被破坏或篡改。然后提醒用户,软件与开发人员上次留下的一样,并且(如果开发人员值得信任)可以安全安装和运行。
代码签名起什么作用?
作为用户,代码签名有几个不同的功能,可以帮助您了解是否应该信任软件下载和互联网上的其他交互。代码签名的主要目的是验证软件、下载或文件的作者。例如,从Microsoft发送的下载文件看起来比JoeSchmoe发送的文件更值得信赖,您更有可能将其安装在您的计算机上。
代码签名还允许您查看是否存在有效的安全证书。可以将证书视为下载内容上的蜡封。如果蜡封破损,您就知道里面的内容可能已被篡改或泄露。如果蜡封完好无损,您就知道里面的消息来自原始发件人,并且原始内容的完整性没有被更改。
当您在计算机上安装软件时,您肯定会在将来获得至少一些更新。如果这些更新使用与“密封”您初始下载相同的密钥进行代码签名,那么您可以相信未来的更新来自同一来源,因此可以在您的计算机上安全地执行。
代码签名在哪里使用?
开发人员希望用户确认软件来源的任何地方都会使用代码签名。这包括:
1、Windows应用程序和软件补丁
2、Apple软件
3、Microsoft Office VBA对象和宏
4、.jar文件
5、.air或.airi文件
6、基本上任何可执行文件
请注意,由于Linux开发的分布式特性,代码签名通常不用于基于Linux的软件,因此软件可能未经签名。如果发生这种情况,您的计算机将(如果发出任何通知)告诉您它来自“未知开发人员”,或类似的东西。以下是一些其他利用代码签名来提高安全性的应用程序和软件。
iOS:iOS中AppStore的代码签名是使用Xcode完成的。签名应用程序的目的只是让iOS知道谁最初签署了应用程序,并确保应用程序自最初由开发人员签署以来没有被更改过。如果您需要撤销iOS证书,则需要使用您的开发人员帐户或Xcode来完成此过程。
Xcode:iOS使用Xcode对应用程序进行代码签名并确保其安全性。任何设备在上传并获准进入iTunes商店之前,必须拥有有效的Apple开发者ID以及有效的证书或配置文件。要成功集成您的应用程序,您需要使用开发证书。要在任何设备上运行应用程序,您必须使用分发证书发送应用程序并对其进行测试。
C#:VisualC#使用强名称签名来获取世界上任何其他人都无法获得且无法伪造的唯一签名代码。使用VisualC#时,您可以简单地使用sn.exe工具对您的部署进行签名。这通过使用sigcheck工具打印“强名称:已签名”来充当您的签名。
Windows证书:几乎任何可执行文件都可以使用数字签名进行签名,以验证文件的安全性和完整性。要使文件在Windows中被视为安全,必须由公认的证书颁发机构签名。任何使用有效证书分发恶意软件的人都要对其分发的软件承担法律责任。
VisualStudio:VisualStudio在程序集强名称签名方面特别有用——这是一项众所周知的困难任务。通过VisualStudio进行强名称签名可让其他计算机信任软件开发人员。
本质上,任何可执行文件或软件都可以使用代码签名来验证真实性并为用户提供额外的安全性。
代码签名有哪些优势?
代码签名有几个非常重要的作用。它确保开发人员的身份(作者身份),这意味着随机攻击者无法将某些恶意软件伪装成Microsoft或Apple的软件补丁。它会仔细检查软件,以确保其在安装时没有降级、损坏或被篡改。将用户生成的哈希值与开发人员生成的值进行比较,可确保代码现在看起来与开发人员签名时相同。
如果开发人员使用从证书颁发机构(CA)获取的代码签名证书,那么代码签名也会将CA的信任扩展到开发人员,这意味着相对不知名的软件公司仍然可以得到公众的合理信任。
代码签名的弱点是什么?
代码签名的最大缺点在于系统使用不当。首先,证书只有在私钥(用于对证书进行编码的密钥)安全保密的情况下才有效。如果不法分子获得私钥,他们可能会将自己的消息和软件编码为开发人员,而公钥将验证(虚假)身份。这使得用户无法保证软件确实来自预期的开发人员。为此,建议将这些密钥存储在硬件安全模块(HSM)设备中。
其次,任何有恶意的黑客或开发者只要真心想要,都可以从CA获得代码签名证书。但让他们望而却步的是,他们必须向CA提供身份信息才能获得证书,如果他们分发恶意代码,犯罪行为就更容易被归咎于他们。不过,拥有有效证书的开发者可能会向公众分发有害代码。
第三,当公司拥有数百或数千名开发人员,以及同样多的代码应用程序需要签名时,很难了解所有代码签名活动。代码签名私钥通常不受保护,存储在开发人员或构建服务器计算机上。此外,没有明确定义并自动执行代码签名流程的公司无法保护其代码签名流程,这使他们容易受到私钥盗窃。
最后,代码签名的效果实际上取决于最终用户的判断。如果用户愿意接受并安装未经验证完整性或身份的软件,代码签名就毫无用处。就像漂白剂瓶上的警告标签一样,只有用户注意上面列出的注意事项,它才会有效。
来源:宝藏
