Ett kodsigneringscertifikat skapar en digital signatur som verifierar kodens källa och garanterar kodens integritet. Operativsystem, programvaror, enheter och mobila nätverk kräver i allt större utsträckning en digital signatur för att garantera att koden inte kommer att skada eller orsaka avbrott på olika tjänster.
Hur Code Signing Certificates fungerar
Med ett VeriSign® Code Signing Certificate signerar utvecklaren all kod med samma digitala signatur och med publik nyckelkryptografi.
- En utvecklare eller programvaruutgivare använder ett kodsigneringscertifikat för att lägga till en digital signatur för kod eller innehåll med hjälp av en unik privat nyckel.
- Innehållet förs över till en webbplats eller till ett mobilt nätverk eller görs på annat sätt tillgängligt för nedladdning.
- När en användare laddar ned eller träffar på koden använder programvaran eller applikationen i användarens system sig av en publik nyckel för att dekryptera signaturen.
- Genom att jämföra den hash som har använts för att signera applikationen med den hash som finns på den nedladdade applikationen kan systemet avgöra om det ska varna slutanvändaren, inte tillåta nedladdningen, eller tillåta nedladdningen utan att avbryta den (beroende på plattform, applikation och klientens säkerhetsinställningar).
Olika programvaruplattformar har olika krav och använder olika verktyg för att signera kod. VeriSign erbjuder kodsigneringscertifikat för:
- Microsoft® Authenticode®
- Sun Java®
- Microsoft® Office and VBA
- Adobe® AIR®
- Macromedia® Shockwave®
- Authentic IDs for BREW®
Hur kodsigneringskonto fungerar
Ett VeriSign® Code Signing Account använder publik nyckelkryptografi i en signeringsprocess i två steg för att skapa en unik digital signatur för varje kodsigneringshändelse, vilket gör varje utgiven version av koden enklare att spåra och hantera.
- Utvecklaren använder ett utgivar-ID för den lokala signeringen.
- Utvecklaren loggar in på sitt VeriSign Signing Account och överför applikationen.
- VeriSign validerar utgivarens signatur, tar sedan bort utgivarens digitala signatur och skapar ett nytt nyckelpar, signerar innehållet och skickar tillbaka det till utgivaren med ett nyskapat innehålls-ID.
- Innehållet förs över till en webbplats eller till ett mobilt nätverk eller görs på annat sätt tillgängligt för nedladdning.
- När en användare laddar ned eller träffar på koden använder sig programvaran eller applikationen i användarens system av en publik nyckel för att dekryptera signaturen.
VeriSign Code Signing Accounts finns tillgängliga för:
Rotcertifikat: Varför det är viktigt vilken CU du väljer
När programvara dekrypterar den digitala signaturen letar den efter ett "rot"-certifikat, källan till identitetsinformationen. Ett självsignerat digitalt certifikat innebär att du äger ditt eget rotcertifikat och att du garanterar din egen identitet, ungefär som när man gör egna hemmatillverkade ID-kort. Oftast är inte dina rotcertifikat tillgängliga för programvara och enheter från tredje part, och alltså visas ett varningsmeddelande.
När du registrerar dig för ett digitalt certifikat från en certifikatutfärdare (CU), verifierar denna CU din identitet och tillhandahåller ett certifikat som är knutet till dess rotcertifikat. Om programvaran eller enheten litar på den som har utfärdat ditt rotcertifikat, alltså på din CU, så litar den på dig.
VeriSign är det mest betrodda säkerhetsmärket på Internet (Tec-Ed-rapporten, PDF, på engelska, okt. 2007) och vi stöder fler plattformar än någon annan kodsigneringsleverantör VeriSign använder en kraftfull och långtidstestad verifierings- och valideringsprocess som är erkänd över hela världen. Innan ett digitalt certifikat utfärdas med ditt företags fullständiga namn och med din publika nyckel, kontrollerar VeriSign med oberoende källor att företaget finns samt din rätt att begära ett certifikat å företagets vägnar.
