Domande con tag 'code-signing'

domande con tag
1
risposta

È ragionevole che il software trattiene qualcosa che l'utente non può manomettere?

Voglio creare un software che contenga alcune informazioni, il programma funzioni offline e voglio assicurarmi che le informazioni non possano essere manomesse. Il programma può creare o modificare le sue informazioni in qualsiasi momento. Pe...
posta 16.10.2017 - 17:54
1
risposta

Certificato e abuso di chiave

Ho fatto un errore diversi anni fa caricando la chiave del certificato OpenSSL (.pem e .pk8) in un post sul blog. La chiave è stata utilizzata per firmare apk Android utilizzando lo strumento SignApk.jar. Qualcuno l'ha preso e ha usato la chiave...
posta 17.01.2018 - 16:37
2
risposte

Sviluppo sicuro dell'app Android [chiuso]

Sto iniziando con lo sviluppo di app per Android e voglio essere certo di adottare le opportune precauzioni di sicurezza poiché la maggior parte delle app gestirà dati riservati. Quali precauzioni di sicurezza dovrebbero essere prese affinché...
posta 24.01.2016 - 19:28
3
risposte

Migliorerà la sicurezza se metto entrambe le firme SHA1 e SHA256 all'interno di binari codificati su Windows?

La mia applicazione si rivolge a piattaforme che iniziano con Windows 7 a 32 bit. Molti di loro non sono aggiornati (ad esempio potrebbero mancare molti aggiornamenti consigliati da Microsoft). Dati i vincoli, devo usare la firma SHA1 all'int...
posta 22.07.2015 - 18:02
1
risposta

Gli aggiornamenti di Ubuntu sono firmati da un'autorità centrale?

Quando aggiorni Ubuntu con la configurazione predefinita, gli aggiornamenti devono essere firmati da più persone o è una singola persona che controlla quali aggiornamenti firmare? Il motivo per cui sto chiedendo è che se una singola persona o...
posta 16.03.2016 - 15:25
1
risposta

È possibile firmare una chiave importata con una sottochiave usando gpg?

Nell'interesse di salvaguardare la mia chiave principale, la memorizzo offline. Ho una sottochiave gpg con indicatore SEA che tengo a disposizione sul mio sistema. Quando eseguo il download del software, lo verifica utilizzando il file asc forni...
posta 06.03.2017 - 02:40
1
risposta

La convalida di Signtool fallisce quando la firma e la convalida vengono eseguite su macchine diverse

Sto firmando un exe da una macchina usando un file cer. Quindi quando convalido l'EXE usando il signtool.exe dalla stessa macchina, succede. Ma quando provo a convalidarlo usando lo stesso .cer installato su un'altra macchina, fallisce con il se...
posta 28.06.2016 - 02:07
2
risposte

Firma del codice Java contro sandboxing

Sto cercando di capire la logica dietro lo sviluppo di Java Applet negli ultimi anni. Ai vecchi tempi, la maggior parte delle applet non erano firmate e il codice per queste era stato eseguito in una sandbox in cui era possibile escludere bug ne...
posta 01.12.2015 - 21:43
2
risposte

Cosa fare se si perde una smart card?

Voglio utilizzare una smart card OpenPGP per firmare le versioni, ma non sono sicuro di cosa fare se perdo la scheda o si rompe. La mia idea è di generare la chiave usando GnuPG su un computer isolato, crittografarla e fare il backup di quel...
posta 07.03.2014 - 22:23
1
risposta

Come controllare le firme di firma del codice eseguibile?

Come posso vedere tutte le firme per la firma del codice che ha un eseguibile? So che le richieste di uno strumento sono generalmente considerate come opinioni, ma non riesco a trovarne una e non mi aspetto molte risposte. Sfondo: Ho un...
posta 05.02.2014 - 08:59