安全主题

代码签名 101

代码签名开展两项工作:它确认软件的作者是谁,并证明自签名后软件未被修改和篡改过。这两项工作对于培养客户对我们的信任和安全经销您的软件是非常重要的。

为何代码签名具有重大意义?

根据 赛门铁克《互联网威胁安全报告》,2012 年,全球 5.56 亿成年人遭受网络犯罪的危害。当您想到每起网络犯罪事件的平均损失为 197 美元时,就会理解人们为何会非常谨慎地对待从互联网下载可执行文件。

 

也就是说,值得做任何事情来赢得他们的信任:在线分销意味着可以更快速地分销软件更新、扩大潜在客户群和显著削减成本,因为无需邮资,也无需制造光盘和包装。显而易见,我们需要为用户提供 >可验证的证据 ,证明代码作者的身份与其自述的身份一致,且您的代码绝对没有损坏也不是恶意软件。实际上,许多第三方程序发布者和移动网络提供商 目前都坚持 采用代码签名来保护他们的用户。

代码签名简介

网站安全

代码签名的工作原理是什么?

代码签名流程类似于 SSL/TLS 证书使用的流程,它采用一对加密密钥,一个是公钥,一个是私钥,用于识别和验证您与您的代码。最佳和最安全的私钥获取方法是向可信任的证书颁发机构 (CA)(例如将带您完成身份验证过程的赛门铁克公司)申请一个证书。一旦有了自己的证书,就可以生成您自己的私钥。您所选择的 CA 机构非常重要,因为它决定着您分销软件的能力有多强。例如,赛门铁克为大量桌面和移动平台提供证书,包括 Windows 手机和安卓手机。

 

然后,您可以使用该私钥为您的可执行文件或软件库签名,私钥仅可通过可追溯到 CA 的公钥解锁,而公钥已预安装在大部分浏览器中。如果在签名后代码被篡改,公钥将不能核实私钥签名的真实性,浏览器将立即向任何尝试下载代码的人弹出警告窗口。如果代码完好无损,则将提供您的文件,用户能够无缝下载。它的工作原理就是如此简单。

通过代码签名提升软件的采用和销售额

什么是代码签名?

代码签名是添加到软件和应用程序上的数字签名,用于验证包含的代码自添加签名后未被篡改过。

数据表
SHA 256 支持

SHA 256 支持

安全哈希算法 (SHA) 256 支持可用于赛门铁克代码签名证书。

继续阅读

代码签名:为何签名

代码签名:为何签名

您应该使用赛门铁克代码签名进行代码签名的 5 大理由。

继续阅读

代码签名的工作原理

代码签名的工作原理

与任何其他提供商相比,赛门铁克可帮助您基于更多的平台向更多客户交付应用程序和代码。与其他任何证书颁发机构 (CA) 相比,全球最受认可和信任的证书颁发机构赛门铁克为更多的开发商和发行商所依赖。

继续阅读

使用案例

赛门铁克网站安全解决方案的实际应用

加入社区

参加 Symantec Connect 上的安全主题讨论

SYMANTEC CONNECT

在 Twitter 上关注 Threat Intelligence:@Threatintel

SYMANTEC ON TWITTER

观看 YouTube 上的赛门铁克网站安全视频

SYMANTEC ON YOUTUBE

我们已经更新了我们的隐私政策,可以在这里找到。