代码签名证书是数字证书的一种,是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以减少软件下载时弹出的安全警告,保证代码完整性和不被恶意篡改,使厂商信息对下载用户公开可见,从而建立良好的软件品牌信誉度。
一、代码泄露事件频发
1.2010年6月赫赫有名的震网病毒盗用知名IT企业的数字签名进行伪装。
2.2013年4月,台湾FTP服务器中AMIAptioUEFIBIOS源代码泄露,甚至包括AMI专用UEFIBIOS签名测试密钥。
3.2015年9月,D-link意外泄露私有代码签名密钥,黑客可用该密钥对恶意软件进行签名,使它更容易执行攻击。
4.2015年,一家韩国移动软件开发商签名证书被盗,黑客用其签名一款暴力服务器消息块(SMB)扫描程序。
5.2018年11月,腾讯智慧安全御见威胁情报中心发现,一款拥有用合法数字签名的挖矿木马在Windows和安卓系统中悄然流行,中毒电脑和手机会运行门罗币挖矿程序。
6.2019年5月,三星SmartThings敏感的源代码、证书和密钥一起泄露,包含了iOS和Android应用的私有证书。
二、未安装和安装代码签名证书的区别
有了代码签名证书,不仅能提升用户信任度,也能保证软件的代码不容易被非法篡改,有效保护了代码的完整性。
《网络安全法》中明确了企业责任,对于程序开发商来说,倘若开发的软件代码遭到恶意攻击、篡改,从而影响到用户使用的隐私安全,也会产生非常大影响。
所以,无论是不信任造成用户流失带来的损失,还是企业必须保障用户的隐私安全,对应用软件进行安装代码签名证书都是很有必要的。
三、谁需要代码签名证书?
随着网络安全警惕意识的空前高涨。要是我们开发的软件无法证明合法性,则大部分网络用户都不会下载。
有了代码签名证书可以激发客户和用户的信心,并提供我们要验证代码所需的证明,这就相当于我们的居民身份证,证实我这个人是存在的,是品德优良的中国公民。
展开全文
第一个需要这张“身份证”的人就是软件开发人员,你可以使用代码签名证书为客户提供额外的保证,让他们知道内容的生产商并且保证代码没有被篡改。签了名的代码可以防止代码在分发前被身份不明的第三方篡改。
另外就是内容发布者,你可以对软件组件、宏、固件映像、病毒更新、配置文件或者其他类型的内容进行数字签名,来确保通过互联网或其他机制进行安全交付。
当指定代码片段(例如ActiveX控件、Java小程序以及其他活动的网络脚本代码)的源码可能不明显时,代码签名尤其重要。
四、代码签名证书的影响
代码签名证书通过软件开发者对其开发的软件代码进行数字签名,确保用户通过互联网下载此代码时来源可信,不被非法篡改。标准代码签名证书保证代码的完整性,防止用户被病毒、恶意代码和间谍软件侵害。同时,也可保护软件开发商的利益,让软件开发商能安全快速地通过网络发布软件。
对于程序开发商来说,软件市场的竞争非常激烈,倘若开发的软件代码遭到不法分子的攻击、病毒感染或以任何形式发生篡改,并遭到系统的拦截、查杀,在丧失了用户对软件的信任的同时,还会造成大量用户流失,所以对软件的代码进行数字签名是很有必要的。
对于用户来说,下载软件时,在安装时电脑系统会对该软件进行安全警告提示,使用户心生怀疑,到底要不要继续安装,体验度极差。如果是安装了代码签名证书的软件,则不会出现这种提示,让用户可以放心下载安装。
CnTrus数字认证,遵照《中华人民共和国电子签名法》《中华人民共和国密码法》等多部法律自主研发的数字认证根证书,支持国密和国际双算法,签发的根证书支持所有浏览器、服务器和移动终端。
自2011年开展互联网数字安全认证以来,应用覆盖政务、医疗、电商、教育、金融、电信、物流等多个领域,为50000+企事业单位互联网安全可信保驾护航,覆盖超10亿网民用户,目前已发展成为国内领先的数字认证服务品牌,是中国互联网安全认证行业龙头企业。
CnTrus数字认证中心的运营及技术支持单位为浙江葫芦娃数字认证有限公司,是国家高新技术企业、杭州市重大科技创新企业,通过公安部国家信息安全等级保护三级测评,获准国际ISO27001信息安全管理体系认证。