软件代码开发需要开发者投入大量精力和人力物力,但您的软件代码发布到互联网上后可能会发生各种状况,软件代码可能受到黑客攻击、病毒感染或任何方式的篡改,也可能因为“发布者身份未知”的系统警告吓跑用户。而用户要找到安全可靠的软件程序也并不容易,在互联网上下载Java程序、插件、ActiveX控件或其他可执行文件时,无法了解软件发布者的真实身份信息,也无从得知这些软件包有没有被篡改,甚至植入病毒木马,这使得用户在运行代码程序时承担了较大的安全风险。
代码签名机制是基于PKI技术的成熟机制,帮助开发者和最终用户建立安全信任的软件发布环境和使用环境。代码签名证书是由权威CA机构认证开发者身份后颁发,提供给软件开发者对其开发的软件代码进行数字签名,附上可信身份证明并保护代码完整性,防止软件代码被仿冒或篡改。用户下载软件时,操作系统或浏览器可通过数字签名验证软件代码来源可信,且没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害。
较新的操作系统和浏览器都设置较高级别的网络安全策略,要求应用程序、驱动程序和软件程序添加数字签名。例如,Internet Explorer 利用 Authenticode 技术来识别签名软件的发布者,并确认它没有被篡改;Windows用户帐户控制(UAC)会对任何交互式应用程序强制执行数字签名检查。
当用户从某网站下载代码签名文件时,系统可以从文件中提取证书,通过证书颁发机构的信任列表、颁发机构信息访问 (AIA) 检查等途径验证证书中的签名,每个证书均要进行各种相关参数的有效性验证,如名称、时间、签名、吊销状态以及其他限制。如果签名软件以任何方式被篡改,则会破坏数字签名,操作系统或浏览器会提醒用户代码已修改且不再可信。
沃通代码签名证书,根证书预置在操作系统和浏览器的受信任列表以及大部分设备和应用程序中,无缝实现签名代码验证和信任。根据验证等级和功能不同。代码签名证书分为单位代码签名证书和EV代码签名证书。
两类代码签名证书都需要验证软件开发机构的单位真实身份,都支持多用途的普通代码签名,但沃通EV代码签名证书需要遵循更加严格的扩展验证标准,并采用更安全的私钥存储方式( USB Key硬件存储),也具备更丰富的应用功能,EV代码签名证书支持Windows硬件认证(即徽标认证),可以用它建立Windows硬件开发人员中心仪表板账号,并支持在Windows SmartScreen筛选器中快速建立信誉,让程序流畅运行。
对于程序开发者或软件发布者而言,在激烈的软件市场竞争中,软件代码就是您的声誉,如果您的软件版本受到黑客攻击、病毒感染或以任何方式发生篡改,将遭受系统拦截、查杀,损害用户对软件的信任和使用软件的信心,对软件代码带来致命打击。利用代码签名证书保护软件代码安全、建立软件信誉,是软件代码发布前必须做到的重要工作。
