洩漏事件
2010年
赫赫有名的震網病毒盜用著名IT企業的數字簽名進行僞裝。
2013年
台灣FTP伺服器中AMI Aptio UEFI BIOS源代碼洩露,甚至包括AMI專用UEFI BIOS簽名測試密鑰
2015年
D-link意外洩露私有代碼簽名密鑰,黑客可用該密鑰對惡意軟體進行簽名,使它更容易執行攻擊。
2018年
一家南韓移動軟體開發商簽名證書被盜,黑客用其簽名一款暴力伺服器消息塊(SMB)掃描程式。
2019年
三星SmartThings 敏感的源代碼、證書和密鑰一起洩露,包含了iOS和Android應用的私有證書。
作為一個應用程式開發人員,在投入如此多時間和精力後,絕對不會希望自己的辛苦成果被惡意篡改。如果被惡意軟體和進階持久威脅對其損失和傷害不是一星半點。
為了突破軟體安全的窘境,CA機構頒發的代碼簽名證書對軟體代碼進行加密,對開發代碼實施高度安全和高效的代碼簽名流程,進而保護其組織免受與軟體篡改有關的風險。
代碼簽名證書是完全識别釋出者的數字證書。它們由符合最小 RSA 密鑰長度要求的證書頒發機構頒發。如果對代碼進行了任何更改,則需要釋出新的簽名。
代碼簽名不僅可以識别應用程式的來源,還可以證明軟體的安全性和可用性。如果沒有證書,數字簽名可能被篡改,使用者将收到安全警告,讓他們知道該軟體可能不受信任。這就是為什麼有效的代碼簽名證書對開發人員以及企業的重要性。
使用代碼簽名證書優點
1建立可信身份
數字證書将個人或實體的身份綁定在與私鑰對應的公鑰上。私鑰和公鑰系統的使用被稱為公鑰基礎設施(PKI)。開發人員用其私鑰對代碼進行簽名,最終使用者使用開發人員的公鑰來驗證開發人員的身份。
2防止惡意篡改
代碼簽名證明簽名的軟體是合法的,來自一個已知的軟體供應商,并且該代碼自釋出以來沒有被篡改。代碼簽名可防止使用者由于安全警告消息,惡意更改合法代碼以及供應商作者的身份被盜取而放棄應用程式的安裝。
3消除安全警告
消除“未知釋出商”安全警告
4使軟體可信
證書中顯示組織名稱,标示軟體可信身份。
5提高品牌形象
現在有越來越多的軟體釋出下載下傳和搭載平台都開始要求軟體的安全驗證。例如Windows,就要求軟體開發商使用可應用于微軟系統的代碼簽名證書對軟體進行數字簽名。
無論是不信任造成使用者流失帶來的損失,還是企業必須保障使用者的隐私安全,對應用軟體進行安裝代碼簽名證書都是很有必要的。