程式碼簽章的工作原理

程式碼簽章已成為向客戶和合作夥伴分發程式碼的組織來說，已經成為開展業務的基本要素。程式碼簽章驗證誰是特定程式碼巨集的發佈者，並證明它在被簽署後未被修改過。

與經過簽章的軟體一起交付的憑證是用戶在安裝前確定軟體是否來自合法來源的一個重要途徑。如今，包括行動應用程式商店在內的許多軟體市場都要求程式碼符合特定的數位簽章要求。無論使用何種情況，都必須使用私鑰安全性來使程式碼簽章憑證得到信任和重視。

程式碼簽章架構

程式碼簽章架構由幾個關鍵方面組成，包括：

● 公鑰基礎設施(PKI)技術用於創建數位簽章。
● 數位簽章基於私鑰和程式檔案的內容。
● 在分發程式碼時，開發人員將簽章與檔案或相關目錄檔案封包。
● 收到簽章程式碼後，用戶或設備將組合檔案、憑證和相關公鑰，以驗證檔案簽章者的身份和檔案的完整性。

在程式碼簽章環境中，存在一個關鍵漏洞：私鑰。

程式碼簽章的私鑰安全性

任何能夠存取合法憑證所有者私鑰的人都可以創建看起來是由該組織簽署的軟體。眾多的違規事件利用詐欺性程式碼簽章憑證，對憑證所有者的聲譽和業務造成重大損失。

為了有效保護程式碼簽章中使用的私鑰，企業利用硬體安全模組(HSM)是至關重要的。儲存在伺服器或其它系統中的金鑰很容易受到未經授權的存取和破壞。將金鑰儲存在堅固、防篡改的HSM中可以消除這些風險。

參考來源: https://cpl.thalesgroup.com/data-protection/secure-digital-signatures/code-signing

友善連結: http://www.pronew.com.tw/