Certificados de Assinatura de Código

O que é um Certificado de Assinatura de Código?


Um certificado de assinatura de código é um certificado digital que contém informações que identificam totalmente uma entidade e são emitidas por uma autoridade de certificação, como a GlobalSign. O Certificado Digital vincula a identidade de uma organização a uma chave pública relacionada matematicamente a um par de chaves privadas. O uso de sistemas de chave privada e pública é chamado de Infra-estrutura de Chave Pública (Public Key Infrastructure - PKI). O desenvolvedor assina o código com sua chave privada e o usuário final usa a chave pública do desenvolvedor para verificar a identidade do desenvolvedor.

Código de Assinatura com um Certificado de Assinatura de Código

O certificado digital é marcado para o uso específico do código assinado digitalmente, em PKI isso é chamado de Uso da Chave. Abaixo está um exemplo de um Certificado Digital GlobalSign marcado para assinatura de código.

Quando uma assinatura digital é aplicada, um registro de data e hora também é gravado. Esse recurso de carimbo de data / hora atua para garantir que o código assinado permaneça válido mesmo depois que o certificado digital expirar. A menos que você adicione código adicional ou faça alterações no código, não é necessário aplicar uma nova assinatura (mesmo que o certificado digital usado para assinar inicialmente o código expire).

Assinatura de Código ajuda a provar

Origem do conteúdo:
Assinatura de código identifica que o software ou aplicativo é proveniente de uma fonte específica (um desenvolvedor ou assinante). Quando o software é baixado da Internet, os navegadores exibem uma mensagem de aviso informando os possíveis perigos do download de dados ou exibem um aviso de "editor desconhecido". A Assinatura de Código remove os avisos de segurança de "Editor desconhecido" e identifica o nome do editor, ou seja, o nome da organização.

Integridade do conteúdo:
Assinatura de código garante que uma parte do código não tenha sido alterada e determina se o código é confiável para um propósito específico. Se o código do aplicativo / software for adulterado ou alterado após a assinatura digital, a assinatura aparecerá inválida e não confiável. O código de assinatura é benéfico para os usuários que baixam aplicativos e é benéfico para os desenvolvedores. Os usuários têm certeza de quem estão baixando o software e podem decidir se confiam ou não na fonte. Os desenvolvedores podem marcar sua "marca" e proteger seu software contra alterações indesejadas.