Devo firmare il codice di qualcun altro?

12

Sto lavorando a un prodotto che include driver di terze parti per alcuni componenti hardware del prodotto. Alcuni driver non sono firmati, altri sono firmati solo con certificati sha1.

Dato che ottenere nuovi driver sha2 firmati (o con doppia firma) da tutte le terze parti sarà molto difficile, se non impossibile, dovrei firmare i driver che ho con il certificato di firma del codice della mia azienda?

Quali sono le implicazioni, sia tecniche che legali, nel firmare il codice di qualcun altro? Offre molto di più del semplice "abbiamo testato questa versione del driver e ci si fida di esso"?

    
posta Grhm 04.04.2016 - 21:55
fonte

1 risposta

16

Quando firmi un codice, significa che devi garantire quel codice. Quando le persone decidono di affidarsi alla tua firma, significa che si fidano di te solo per firmare il codice dopo aver verificato che sia affidabile.

Quando abusi di tale fiducia e qualcuno trova malware con la tua firma su di esso, puoi aspettarti che non si fidi mai più della tua firma. Quando il tuo certificato ha uno stato di fiducia speciale da parte di qualsiasi sistema operativo o piattaforma di distribuzione, puoi aspettarti che questo trust venga revocato se viene a conoscenza dei manutentori con cui hai firmato malware.

Quindi, se decidi di firmare i driver di dispositivi di terze parti, dovresti farlo solo quando ritieni di poter prendere la responsabilità di tutto ciò che fa quel driver. Se non puoi farlo con la coscienza pulita, è meglio lasciarlo non firmato e lasciare che l'utente decida se si fida di esso. O meglio, trovare un'alternativa più affidabile.

    
risposta data 04.04.2016 - 22:12
fonte

Leggi altre domande sui tag