Standard di firma del software

0

Esiste un certificato di firma del software standard, ufficialmente o per popolarità?

Come comprendo le regole dei certificati SSL / TLS / https sono specificate dagli RFC. L'uso misto di server e client di diversi fornitori interagirà senza problemi. Esistono modi standard per la firma del software?

O è che ogni SO software userebbe il proprio modo di firmare e avrebbe bisogno che i fornitori di pacchetti seguissero? Oppure chiedere in una situazione specifica, se la firma del pacchetto funziona bene su un sistema Linux, funzionerebbe su altri sistemi operativi o piattaforme?

    
posta minghua 15.12.2018 - 20:37
fonte

1 risposta

0

Preliminare vedo che non esiste uno standard simile per i software di diverse società. Gli standard di ciascuno dei fornitori di software potrebbero esistere, ma non in documentazioni disponibili pubblicamente. Probabilmente è necessario iscriversi a un pacchetto di firma del codice da un fornitore per esercitare il processo per saperne di più. Anche se probabilmente non sarà semplice e diretto scoprire i dettagli della firma perché la maggior parte dei pacchetti documenta male gli interni piuttosto che mostrarti solo i passaggi.

La chiave di firma molto probabilmente sarà RSA, come sottolineato da @BlueWizard nel commento.

Il certificato firmato, dovrebbe contenere l'oggetto chiave pubblica con altre direttive o meta-informazioni. La chiave pubblica dell'oggetto deve essere verificata dalla chiave pubblica del firmatario.

Usiamo un argomento come un esempio che produce software. Una sequenza di passaggi potrebbe essere:

  • [1] L'oggetto invia l'oggetto chiave pubblica all'autore del firmatario.
  • [2] Il firmatario dell'autorità mette insieme la chiave pubblica dell'oggetto con alcune metainformazioni e la crittografa con la chiave privata del firmatario. Questo produce un certificato. Il certificato viene restituito all'oggetto.
  • [3] L'oggetto inserisce l'hash di un'immagine software firmata con il certificato in un pacchetto senza firma o da firmare.
  • [4] L'oggetto crittografa il pacchetto senza firma con la sua chiave privata.
  • [5] L'oggetto pubblica il pacchetto firmato e la sua chiave pubblica di firma.
  • [6] Il ricevitore decrittografa il pacchetto con la chiave pubblica di firma del pacchetto. Quindi decrittografa il certificato con la chiave pubblica dell'autorità. Se il messaggio del certificato decrittografato contiene la meta informazione evidentemente verificabile, la convalida ha esito positivo. Le meta-informazioni inserite da [2] e verificate qui probabilmente conterranno il nome dell'autorità firmante e il nome del soggetto, al momento della firma del certificato, e quando scadrà la sua validità, a cosa dovrebbe essere usato, ecc. .

Un'eccezione a quanto sopra è che, se la chiave di firma del pacchetto utilizzata in [4] è diversa dalla chiave certificata, l'oggetto deve crittografare la chiave pubblica di firma utilizzando la chiave privata certificata. Questo crea un certificato intermedio.

Le meta-informazioni coinvolte in [2] e [6] dovrebbero essere specificate dallo standard di firma e validazione.

    
risposta data 22.01.2019 - 18:46
fonte

Leggi altre domande sui tag