什麼是 程式碼簽章 ?GlobalSign Code Signing 程式碼簽章怎麼選?帶你一探究竟
資訊安全

什麼是程式碼簽章?GlobalSign Code Signing 程式碼簽章 怎麼選?帶你一探究竟

回想一下,以往在安裝程式安裝檔時,是否有注意過程式安裝檔是不是安全可信任的呢?在執行安裝程式時,是否曾擔心過會不會不小心安裝到假的、含有病毒程式的程式安裝檔呢?

下載及安裝程式是一件再平常不過的事情了,只是網路病毒與惡意軟體非常多,而且誘使人安裝到惡意病毒程式的手法一直在精進,最一般的作法可能是在網路上提供一個假的程式安裝檔下載點,引人下載安裝,進階一點的做法可能是建立一個與那支程式執行檔原廠載點一樣的網站,引誘人進站並下載,再更進階的做法,則可能是直接入侵原廠網站,偷偷更換下載點連結,讓人不知不覺中下載到假的程式執行檔。

提供程式安裝檔的原廠不會願意自己的用戶被騙,下載到假的程式安裝檔,因此就會使用程式碼簽章服務,來幫程式做一層安全性的驗證宣告,讓用戶能透過此來分辨程式真偽。

▌什麼是程式碼簽章

程式碼簽章 ( Code Signing ) 是一種虛擬的數位簽章,主要用來驗證軟體程式碼和內容來源是可信任的,使用的對象是「軟體程式開發公司」;當一個軟體程式開發完成後,會開放給大眾下載、安裝、使用,因為程式撰寫者無法時刻確保在外流通的程式碼不會遭到有心人士重新編譯、竄改,因此,當軟體程式碼開發完成要公開給大眾使用前,將軟體程式碼加上受驗證的 程式碼簽章 ( Code Signing ),能用來宣告這個程式是正版的、沒被別人竄改過的,若軟體程式遭到竄改,那麼加上去的程式碼簽章就會”立即失效”。

程式碼簽章的原理與文件簽章、郵件簽章有點類似,都是在原始的檔案、資料、信件上加上驗證資訊;因為資料、檔案,當你一提供出去後會發生什麼事、什麼時侯會被惡意人士盯上、竄改,來進行不法行為完全無法得知,因此透過加上簽章的方式,一旦原本的東西被竄改了,那原本加上去的簽章就會失效,以此來讓取得程式安裝檔、文件資料、信件的人能做為一個警覺的依據。

▌為什麼需要程式碼簽章?

這是程式開發者用來宣告程式是原版、可信任的一種方式,也能讓使用這個程式檔的使用者,能有一個評斷檔案程式是否是可信任的一個方式。

▌一定要使用程式碼簽章嗎?

這個沒有一定的答案,主要還是看程式開發單位的想法,但站在長遠經營及企業品牌價值保護的考量點上,我們是會建議使用的;幫公司做出來的程式檔案加上驗證簽章,不單是企業對自己發出去的產品的認同,更多是對客戶負責任與盡力保護客戶不受到假程式的傷害。

▌如何選擇程式碼簽章的品牌呢?

資安類服務多數人都會傾向選擇國際大廠的品牌,因為這是跟安全性及可信頼度有關的服務,而服務採用後就希望他是夠嚴謹也真正有效的;這跟選擇銀行或保險的概念相似,錢放在銀行就希望銀行能好好幫你保管,不要出錯出事,若有問題能有解決之道,而不是兩手一攤只能自認倒楣,買保險不是選便宜及書面數字上賠得多就好,而是真正要用到時,理賠能派上用場,而不是這個不能賠、那個不算在內。

▌GlobalSign Code Signing 程式碼簽章有什麼特色?

選擇資安產品關鍵元素有品牌可信度、服務完整性及能真正解決您的問題與需求,而GlobalSign 符合這些元素。

GlobalSign 提供簽章憑證服務已有多年,且專注於開發與發展相關的各種服務,舉凡是每個網站標配的 SSL 數位憑證、因疫情而更促進企業導入的文件簽章、因郵件詐騙持續增加而開始受到關注的簽章等服務,GlobalSign 都有提供,簽章憑證服務產品線完整,也表示有很完整的簽章憑證專業人才在維護與發展服務;而GlobalSign 與 Cloudmax 合作多年,透過 Cloudmax 購買 GlobalSign 服務,完全不用擔心跨國問題或是技術問題,由 Cloudmax 匯智成為中間協助的腳色,幫助台灣客戶能很簡單與快速的取得所需服務,在使用上有任何問題,也能透過 Cloudmax 匯智來解決。

▌GlobalSign Code Signing 程式碼簽章方案怎麼選

GlobalSign Code Signing 提供 EV Code Signing 與 Standard Code Signing 二種方案,最大的差異在於 EV Code Signing 可以避免程式在 Windows 8.1 以上版本(包含現行主流的Windows 10)執行安裝程式時,顯示 Microsoft SmartScreen 風險提示,若您開發的程式是會運行在 Windows 8.1 以上的版本,那麼建議直接選擇 EV Code Signing 最適合,其他像是時間戳記功能、時間戳記永久有效、簽署軟體的數量無限制的部份則相同。

▌使用 Code Signing 程式碼簽章後,安裝檔執行會變怎樣?

安裝已受認證的程式安裝檔時,用戶在安裝執行介面上會顯示出已受認證的程式開發者資訊,以宣告此程式是安全可信任的,如下圖:

使用程式碼簽章後,在安裝檔執行時,發佈者資訊會顯示已受認證的程式開發者資訊

若是未經過認證的程式安裝檔,用戶在執行安裝程式時,在發佈者資訊的地方會呈現不知名發佈者的狀態,另外依程式版本不同也會出現此程式是未受認證的警示視窗。

沒使用程式碼簽章,安裝檔執行時,發佈者資訊會顯示不知名發佈者

▌如何看程式碼簽章的檔案訊

在要查看的執行檔上,點擊右鍵選擇「內容」,會開啟此執行檔的內容視窗,點選「數位簽章」分頁,即可看到詳細的簽章資訊了。

在執行檔上點擊右鍵選擇「內容」,可開啟執行檔的內容視窗,於 數位簽章 分頁中可看到詳細的簽章資訊

▌如何申請程式碼簽章

GlobalSign-Code-Signing-程式碼簽章怎麼選-流程圖

在 Cloudmax 匯智申請程式碼簽章的步驟很簡單,直接來電 02-2718-7200 #1 或來信 service@cloudmax.com.tw ,跟匯智服務專員說您想申請 GlobalSign 的 Code Signing 程式碼簽章 服務,服務專員確認您想申請的方案是符合您需求的之後,會跟您索取申請書上所需資料,接著:

  1. 提供給您一份申請書
  2. 請您確認申請書內容無誤後,請用印並付款
  3. 款項確認無誤後,會進行購買者的身份驗證(簽章類的服務都需做身份驗證,與 SSL 一樣,如此才能確保您是真正的申請者)
  4. 驗證通過就能取得程式碼簽章檔安(或 USB Token)
  5. 可開始使用了

歡迎轉載!請見:轉載原則

Photo by Sora Shimazaki from pexels

    發表迴響