数字签名（代码签名）流程

【转载】http://www.cnblogs.com/itech/archive/2011/07/21/2110924.html

 

Authenticode ： 这里翻译为数字认证代码。
code sign ： 字面的翻译为代码签名，可是一般的咱们称为数字签名，如下的文中均称为数字签名。



一 数字认证码
若是你是软件开发人员，你可能已经知道windows系统和一些浏览器（例如IE，Firefox）使用一种称为数字认证代码的技术来标识软件的发行商，来检查软件没有被病毒影响。若是你的软件没有用数字认证代码签名，用户将会收到一个警告“此软件发行商不能被成功的验证，你是否要继续运行此软件“，不少的用户为了安全起见将放弃对此软件的使用。

若是你的软件是提供给专业的人员使用，结果肯能会更糟。许多公司的IT安全策略禁止没有用数字认证码签名的软件的运行。

同时微软Windows也使用数字签名证书来判断潜在的恶意软件。若是你的setup.exe没有进行数字认证证书的签名，你的软件的名誉将遭受损害。

在Vista系统增长UAC以后，状况变的更糟，若是你的软件没有使用数字认证证书签名，且在运行时须要管理员的权限，则会出现警告对话框”不可识别的程序想访问你的计算机“，这个时候不少的用户可能认为是病毒，会禁止使用你的软件。

二 数字认证码的原理

数字签名代码是一种技术，它使用数字证书来识别软件的发布商和使用hash算法来确保软件的完整性。数字签名使用公共密匙签名书法被建立，它使用两种不一样的密匙：公共密匙和私有密匙，咱们称其为密匙对。私有密匙通常为拥有者全部，公有密匙对全部的人均可见。

数字签名的过程本质上为：

签名软件对要签名的软件建立hash；

使用发布者的私有密匙来加密软件的hash；

被加密的hash和发布者的数字证书被插入到要签名的软件；

数字签名的验证过程本质上为：

用户对要验证的软件建立hash；

使用发布者的公共密匙来解密被加密的hash；

比较解密的hash和新得到的hash，若是匹配说明签名是正确的，软件没有被修改过；

三 数字签名
数字签名是对软件进行标识的一个流程，它经过对软件增长了发布商的信息来检查软件在发布后是否被修改或受病毒影响。在软件出售前进行签名已经成为了行业范围的专业实践。随着用户的安全意识的提升，如今愈来愈多的用户限制下载未签名的软件，所以做为专业的软件公司，在软件出售前进行签名已经成为必不可少的一步。

要进行数字签名，须要如下准备：
1）数字证书和密码；
2）数字签名工具；
3）时间戳服务器的URL地址；

四 数字签名工具
数字签名工具， 微软提供了两套数字签名工具，

1）signcode.exe， 从1998年开始使用，随.NET Framework SDK发布。

signcode.exe 数字签名工具

makecert.exe 建立数字证书

cert2spc.exe 将数字证书转化为软件发布者证书格式

2）signtool.exe，随visualstudio 2005及其之后的版本发布。

signtool.exe 数字签名工具

makecert.exe 建立数字证书

cert2spc.exe 将数字证书转化为软件发布者证书格式

pvk2pfx.exe（pvkimprt.exe） 将私有的密匙和软件发布者证书合并为pfx文件，此文件将被signtool.exe使用

上面2中工具的不一样是signcode.exe须要输入私有密匙和软件发布者证书（pvk和spc文件），signtool.exe只须要输入由pvk和spc合并产生的一个我的信息交互文件（pfx）。

五 得到数字证书

数字证书，你能够建立本身的数字证书来测试数字签名的流程，可是正式的软件发布，你须要向可信赖的证书颁发机构购买数字证书和密码，例如你能够向如下的证书机构购买Comodo, Globalsign, Thawte and Verisign。

建立本身的数字证书（用来测试）

使用以下命令来建立本身的数字证书：
makecert.exe -sv mykey.pvk -n "CN=Acme Software Inc." mycert.cer你能够将Acme Software Inc.替换为你本身公司的名字。若是mykey.pvk不存在的话，你会要求输入私有密匙的密码，密码能够为空。安全起见最好设置密码，不然别人拿到你的私有密匙后就能够签名了。在上面的命令后，产生了2个文件mykey.pvk和mycert.cer。接下来须要将数字证书（cer）转化为软件发布商证书（spc），命令以下：cert2spc.exe mycert.cer mycert.spc此过程当中须要输入私有密匙的密码，建立完成后应该会生成mycert.spc文件，当数字签名时mycert.cer文件是不须要的。

 

六 对软件数字签名
时间戳服务器，你能够选择下列之一，
- http://timestamp.verisign.com/scripts/timstamp.dll
- http://timestamp.globalsign.com/scripts/timstamp.dll
- http://timestamp.comodoca.com/authenticode

- http://timestamp.wosign.com/timestamp 

1）使用signcode.exe,以下：
signcode.exe -t <timestamp URL> -spc mycert.spc -v mykey.pvk "<file to be signed>"进行数字签名的文件能够是.exe, .dll, .ocx 或者是其余的可执行文件。

 

2）使用signtool.exe，以下：

若是你没有pfx文件，须要使用如下的命令来将pvk和spc文件合并为pfx，若是没有设置密码的话必须使用pvkimprt.exe来合并。pvk2pfx.exe -pvk mykey.pvk -pi <password> -spc mycert.spc -pfx mycert.pfx -po <password>pvkimprt.exe -pfx mycert.spc mycert.pvksigntool.exe sign /f mycert.pfx /p <password> /t <timestamp URL> /v "<file to be signed>"
如下是使用signtool.exe签名的一个实例：
signtool.exe sign /f mycert.pfx /p <password> /t <timestamp URL> /v "<file to be signed>"

Here is the Sample Output:
The following certificate was selected:
Issued to: SID Software Inc.
Issued by: Thawte Code Signing CA
Expires: 10/16/2011 2:17:15 AM
SHA1 hash: 4374SD894388B9H456E206124G06D9AV1535G12E

Done Adding Additional Store

Attempting to sign: jservice.exe
Successfully signed and timestamped: jservice.exe

Number of files successfully Signed: 1
Number of warnings: 0
Number of errors: 0

参考：

http://www.wosign.com/basic/codesign_basic.htm
http://www.tech-pro.net/code-signing-for-developers.html
http://siddesh-bg.blogspot.com/2008/12/code-signing-process.html

 

Code-Signing Best Practices ：

http://msdn.microsoft.com/en-us/windows/hardware/gg487309.aspx