什么是代码签名?
使用代码签名证书,保证移动应用程序与软件安全
网络移动智能手机调查报告指出,智能手机应用程序正在为更多互联网用户提供多样化服务,但随着这些崭新的应用带来许多新兴的商业行为时,同时却也带来许多安全漏洞和恶意代码的风险,威胁着网友使用行为。面对互联网时代的假身份、恶意欺诈、钓鱼网站等诚信风险和木马、病毒、隐私窃取等安全威胁,智能手机应用程序正为互联网带来“诚信”和“信任”的两大挑战,如何确保网站经营者的诚信,以及如何获得网民的信任已经成为应用程序开发业者必须要解决的迫切问题。
根据我们所进行的市场观察,国际知名的移动操作系统平台(例如Windows® Mobile 7)以及流行的应用程序商店(APP store)已经陆续实施代码签名证书技术,用以解决日益严重的互联网安全问题。这些移动平台及应用程序商店通过采用代码签名证书来确保用户日益依赖的移动设备应用程序的安全性。
什么是代码签名?
在传统的软件采购模式中,购买者通过检查软件外盒包装来确定应用程序的来源及完整性。然而,在互联网下载的软件因为存在着难以确认开发商及发行商的风险,若不慎在互联网中下载到夹有恶意代码的应用程序或软件,不仅会给终端用户的智能手机或移动设备带来风险,亦可能使所有用户遭受攻击,并导致服务中断,严重损害应用程序开发业者的声誉。
代码签名证书技术基于公共密钥加密法技术,为一种数字签名技术,开发者或软件发行商使用“私有”密钥,在软件代码中加设一个数字签名,在移动应用程序下载过程中,使用“公共”密钥验证签名,将应用程序签名中的散列码与所下载程序中的散列码进行对比。而数字签名中的散列码用以确认文件内容,检验文件在签名后代码是否被更改或损坏,下载该软件或应用程序的用户便能能够验证文件内容及软件的完整性。
通过网友的信任门槛
正常情况下,移动代码签名证书的实现有两个数字认证:一个用来识别发行商,另一个用来识别内容。大多数情况下,来自受信源的签名代码可以被自动接收,安全警示也会提示终端用户查看签名信息,确定这一代码的可信度。软件开发或应用程序开发商将产品发布到互联网上后,某些网络平台只接受已签名的应用程序,有些则会要求添加代码签名,以便提升应用程序的安全性。
应用程序商店 (APP store)对软件及应用程式的验证过程对应用程序开发者来说非常重要,若能使用证书认证中心(CA)的所发行的代码签名证书,将可顺利通过验证、审查。在代码签名证书的审核过程中,证书认证中心(CA)将收集与发行商及其机构有关的信息,核实身份的真实性,GlobalSign 正是受到 WebTrust 认可的证书认证中。依照 GlobalSign 的证书审查程序中,确保其身份的真实性对代码签名证书颁发作业来说至为重,我们实时以互联网的安全使用为期许。
互联网正驱动着消费者更加关注移动应用程序,意味着用户、应用程序开发者、发行商以及网络运营商都能意识到网络安全应用的重要性。而代码签名使得发行商能够保护客户的安全使用,及他们的品牌价值,网络运营商可以大幅地降低网络和用户遭受攻击的风险。
GlobalSign 代码签名证书服务简介:
GlobalSign代码签名证书针对程序代码和内容建立了一种数字化的验证及保护程序,可在软件发行者和用户透过互联网和行动网络下载、安装代码程序和内容时,由系统跳出开发者的信息,大幅提高安全性。简单来说,代码签名证书的功能为:验证内容的来源为与完整性,而终端使用者也会意识到该代码程序及内容自发布后皆未遭到非法窜改,进而对开发商及组织机构产生高度信赖感,保护了软件开发商的利益,使得软件开发商能安全地快速地通过互联网发布软件或应用程序。
没有代码签名和有代码签名的区别在哪儿?
如果在下载、安装、运行没有代码签名的软件、代码程序等,会被系统阻止,并提示“未知”发布者的安全警告。这样的警告会警示用户,让其产生不信任,甚至放弃使用该程序。
但是,如果您对代码进行了数字签名,比如说微软代码签名,下载时会显示开发者姓名或开发商名称,让您知道该软件的合法性,也保护软件免受篡改和攻击,确保代码的完整性。最大的好处是用户的体验感提高了,有利于软件的下载、安装和发行率。如果您的软件代码、驱动程序还没有签名,可以考虑一下锐成信息上的Digicert、Sectigo、sslTrus锐安信等权威可信品牌。