Certificato di firma del codice per l'applicazione incorporata

0

Anteprima :

Sto sviluppando un'applicazione incorporata protetta che riceve un codice, firmata usando RSA-2048 e ne verifica la firma prima di attivarla utilizzando una chiave pubblica preprogrammata. Voglio utilizzare la certificazione di firma del codice per verificare l'entità che ha creato e firmato questo codice. Ho fatto una ricerca online e non ho trovato alcun flusso chiaro sull'uso di tali certificati, ho le seguenti domande rimaste senza una risposta chiara.

Domande :

1.Supporta una CA a rilasciare tale certificato per il codice, la chiave pubblica che sta firmando il certificato sarà allegata ad essa? in tal caso, cosa impedirà a un utente malintenzionato di alterare questo certificato e di firmarlo con il proprio paio di chiavi? e se no, da dove verrà la chiave pubblica per autenticare il certificato?

2. Devo analizzare il certificato all'interno dell'applicazione incorporata?

3. Dove posso ottenere un esempio di tale certificato?

    
posta Dima Shifrin 01.06.2017 - 11:07
fonte

1 risposta

0

Suppose a CA will issue such a certificate for the code , does the public key which is signing the certificate will be attached to it ?

Non direttamente. Tuttavia, è facile ottenere la chiave pubblica dell'emittente costruendo la catena di certificati, che includerà tutti i certificati nel percorso di certificazione e le loro chiavi pubbliche. Normalmente, non è necessario scrivere il proprio codice per questo, basta utilizzare qualsiasi framework crittografico adatto per recuperare il certificato emittente e convalidare il certificato di firma del codice.

Per la piattaforma Windows devi usare Windows CryptoAPI, per * nix puoi usare OpenSSL.

Do I have to parse the certificate inside the embedded application ?

di nuovo, non direttamente. Utilizzare strutture crittografiche appropriate e delegare loro tutte le attività di convalida dei certificati. Si assicureranno che il certificato presentato e la sua catena siano validi e non manomessi.

Where can I get an example of such a certificate ?

per gli ambienti di produzione è preferibile acquistare il codice di firma del codice da una CA commerciale di fiducia a livello globale.

Per gli scenari privati è possibile utilizzare la PKI privata aziendale per ottenere tale certificato. Contatta l'amministratore di sistema per ulteriori dettagli.

    
risposta data 01.06.2017 - 11:39
fonte