分类
知识中心

如何利用数字证书对软件代码签名

在正版软件商店里购买软件时,软件的来源很清楚,我们可以分辨软件的提供商;同时,凭借软件的封装,我们可以看到软件有没有被拆封过。籍此,人们可以决定对软件的信任程度。但是,当软件放到了Internet上,你在下载时还能有足够的信心吗?在计算机病毒横行的今天,你正在下载的杀毒软件也许就是一个病毒程序,这样的事情一点也不奇怪,那么,我们在网上怎么信任那些EXE文件呢?通过专门的代码签名软件和数字证书,我们可以对自己开发的软件发个身份证,软件的真实性和完整性可以通过公正的第三方机构来保证。这样,用户和软件作者之间的信任通过第三方的公正机构得到了保证。

代码签名证书主要颁发给软件开发商,代码签名证书用于提供软件开发人员对其开发的软件代码–如宏、病毒更新,.exe、.dll、.cab、.ocx后缀文件等进行数字签名。一方面,可以确信软件的来源是否出自于签发者,万一用户下载的是有害软件,也可以根据证书追踪到软件的来源。另一方面,保证软件在签发之后未经篡改或破坏,使用户免遭病毒与黑客程序的侵扰。对于软件提供商来说,使用代码签名证书,其软件产品更难以被仿造和篡改,增强了软件提供商与用户间的信任度和软件商的信誉。

代码签名的另外一个作用是确定数字签名的时间,也就是时间戳。时间戳的作用在于证明某一段数据在该时间的存在性。比如你有一个重大发现,希望用它来争取诺贝尔奖,你用Word编写你的内容,但是为了证明你是第一个发现者,你需要证明你写的时间,由于文件的时间可任意修改,不能作为证明,所以你需要有一个时间戳,你通过某个Hash算法计算出你的Word文件的摘要并发送给一个权威的时间戳签名服务商(DTS),DTS对摘要和签发时间进行数字签名,形成时间戳发还给你,你将文件时间戳合并,作为将来证明你撰写时间的依据。时间戳服务需要很高的权威性,所以对私钥存储、时间来源都有很高的要求。时间戳服务器参考地址如下:http://timestamp.sheca.com/timestamp。

所以,就有了微软公司和国内软件合作伙伴的安全故事。对于国内小小的软件开发商而言,微软无异于操作系统领域的一艘航空母舰。几乎每个使用电脑的人都被囊括进微软的势力范围,所以如果能获得微软的认可和支持,那么自己的产品就算是拿到了通往国际市场的护照。现在,在国内盗版风头未减的情势之下,微软出于维护自己这个金字招牌的考虑,对有搭载之请的软件开发商提出了安全资质的要求。也就是说,无论对方的软件品质如何卓越,要想得到微软的青睐,首先得保证没有别人能够假冒。所以在把软件送到微软验证之前,合作伙伴要给它贴上一张能够被微软识别的安全标签,其中包含了软件开发商的身份信息、公钥及WHCA的签名,类似于现实生活中的商业执照,可以代表签名者在虚拟数字网络上的合法身份。给你的软件做了签名,就等于敲开了微软的第一道大门,他们才会放心地把你的产品送到美国总部进一步进行品质方面的认定。

数字时间戳服务对于软件用户和软件作者双方应该是有约束力的,参与方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳,从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个第三方来提供可信赖的且不可抵赖的时间戳服务。对于某些比较专业的软件,由于现在盗版软件比较猖獗,通过申请时间戳,可以证明你在某一时刻拥有这一信息。如果想查看时间戳的相关信息,选中”反签名”下的选项,单击被激活的”详细信息”按钮,即可看到时间戳的相关信息。

有了代码签名证书以后,用户和软件开发者之间就可以在相互信任的基础上,展开更加深入的合作了。

分类
网络新闻

数字证书让互联网诚信服务不再是浮云

一年一度的3.15消费者权益日又将到来,很多商家不得不跟消费者一同维权了。“钓鱼”网站泛滥,让企业和顾客苦不堪言,平日铜墙铁壁的银行也难以应对。

去年,“中行E令”网银欺诈事件就引起一阵风波。不法分子以网银系统升级或动态令牌过期需更换为由,诱骗客户登录假冒的中国银行网站和网上银行,在盗取客户网银用户名、登录密码、动态口令后,随即登录客户网银转走客户的资金。

类似事件屡见不鲜,连高安全系数的动态令牌也被拖下水,让人不免为自己的账户安全捏把冷汗。不过不法分子的精力并非专注在银行安全机制的破解,而是精于一个“骗”字:高度仿冒的“钓鱼”网站诱骗用户登录,让网上银行安全机制毫无用武之地。

因此我们用户不仅要考虑安全,还需要在大量“赝品”的干扰下快速找到“真品”。这就对网上银行发出了新的挑战:银行网站本身要绝对安全,而且要安全的够明显。这既是帮用户避免“钓鱼”网站的侵害,也能让银行免受不白之冤。

目前,中国工商银行、招商银行、支付宝、淘宝等多家网站采用了SSL证书。SSL证书提供了身份验证、每日恶意软件扫描等功能,保障信息安全传输。这些SSL证书大多是由VeriSign中国的首要合作商天威诚信提供的。尤为重要的,SSL证书提供的VeriSign信任签章如同网络安全身份证一般,醒目提示用户网站的真实可靠性;以无法被“钓鱼”网站仿冒的技术告知用户网站信息,将网站同仿冒者彻底区分。

面对欺诈钓鱼网站,我们常常忽略的 “https”地址栏开头、金色锁形标志其实同样是SSL证书的安全提示,而我们平时看到的绿色地址栏则是扩展验证EV SSL证书的功能。记者为此特意咨询了天威诚信技术人员,向他了解了一些绿色地址栏的情况。据介绍,其实中国银行网站早已应用了扩展验证EV SSL证书,中行客户在输入动态密码前,可以注意下浏览器地址栏的颜色,看到浏览器地址栏由白色变为绿色后再进行输入。

令人欣喜的是,目前各大银行网站均采用了SSL技术。通过应用SSL证书,用户在访问网站时可以方便地查阅网站身份信息,从而确保访问过程的真实性。对于那些没有应用证书,或者证书信息错误的网站,用户就需要引起重视,尽可能终止访问。如上边提到的“中行E令”网银欺诈事件,客户如果在登陆的时候验证一下网站的真实身份,完全可以避免上当。

为了自身权益,商家要落实安全责任,消费者则要树立安全意识,别因为安全问题让您在3.15委曲求“权”。

分类
知识中心

电子邮件数字证书确保邮件信息的安全

问:我刚刚收到同事的一封电子邮件(关于我们在一些国家的疟疾救援方案)。奇怪的是,邮件文本中几乎所有的国家名字都被移除/删除了。我们注意到,受到干扰的似乎只是那些国家名字,别的内容没有问题。这种干扰一定是在电子邮件传送过程中发生的。这种情况已经不是第一次发生了。您认为这其中可能的原因是什么呢?

答:尽管你的电子邮件中丢失了数据,但是如果不是敏感信息或者有价值的信息受到干扰的话,这种情况不太可能是恶意攻击。有可能是格式问题——你的电子邮件程序没有正确地处理或者显示了来自另一种电子邮件程序的内容。为了解决这类问题,你应该检查电子邮件程序的选项。比如,如果你使用的是Microsoft Outlook,那么点击工具—选项,点击首选参数按钮。在这里你可以改变消息的外观显示,并改变处理它们的方式。

如果这样还不能解决你的问题,而且你确定你的电子邮件在传输过程中被拦截,或受到干扰,那么你和你的同事需要使用电子邮件数字证书对电子邮件进行签名和加密。数字证书将保证只有收件人才可以阅读邮件,而且收件人能够验证邮件是否被篡改。

数字证书包括一个私有密钥(存储在发件人的计算机中)和一个含有相关公共密钥的证书。你可以从Certification Authority(CA认证机构)那里获得数字证书,比如VeriSign公司。VeriSign公司的电子邮件加密传送(Secure Email)产品——1级数字标识(Class 1 Digital ID)。这些数字证书以及其他的证书能与那些遵从S/MIME协议的电子邮件客户端(比如,Microsoft Outlook、Outlook Express、 Mozilla Thunderbird,或者Apple Safari等等)相兼容。

对电子邮件进行签名和加密的数字证书是绑定在你的有效电子邮件地址上的。通过它,你的邮件收件人知道消息来自你的电子邮件地址,而且从你发送电子邮件到他们收到电子邮件这段时间内消息是保密的,没有被修改过。签名的电子邮件还可以提供所谓的不可否认的证据,可以防止发件人后来否认他/她发过这个邮件。

如果你想通过电子邮件给同事发送机密信息,你需要有他们的数字证书的副本,获得他们的证书其实很简单。当有人给你发送带有数字签名的消息时,电子邮件程序都会附带发件人的数字证书,其中含有所发送消息的公共密钥。这样做的话收件人就能够验证发件人的签名是否正确,并且可以确认该消息是否被篡改。你的同事给你发送了带有他签名的电子邮件之后,你可以把他的证书保存在你的电脑上,然后用他的公共密钥来加密回复给他的信息,反之亦然。这样,你的加密消息只有你的同事才能阅读,别人不可以。VeriSign证书有许多不错的关于电子邮件加密的手册,可以很好地指导大家如何进行数字签名以及怎样使用各种邮件程序对电子邮件消息进行加密。

当然,你一定要考虑信息发送给同事之后的安全性问题。一旦收件人解密并且阅读了你发送的信息,别人就可以无限制的复印或者打印那些信息,所以在发送邮件之前一定要考虑邮件内容的性质和敏感性。你还必须要保护好与数字证书相关的私有密钥,因为它实际上就是你的数字身份识别码。

分类
知识中心

图解数字签名和数字证书

数字签名“(digital signature)和”数字证书”(digital certificate)到底是什么。对这些问题的理解,一直是模模糊糊的读者们,很多细节可能搞不清楚。相信你读完这篇文章后,发现思路一下子就理清了。

数字签名是什么?

1.

看图片 读故事:轻松理解数字签名和数字证书

鲍勃有两把钥匙,一把是公钥,另一把是私钥。

2.

图解数字签名和数字证书-2

鲍勃把公钥送给他的朋友们—-帕蒂、道格、苏珊—-每人一把。

3.

看图片 读故事:轻松理解数字签名和数字证书

苏珊给鲍勃写信,写完后用鲍勃的公钥加密,达到保密的效果。

4.

图解数字签名和数字证书-4

鲍勃收信后,用私钥解密,看到信件内容。

5.

图解数字签名和数字证书-4

鲍勃给苏珊回信,写完后用Hash函数,生成信件的摘要(digest)。

6.

图解数字签名和数字证书-3

然后,鲍勃使用私钥,对这个摘要加密,生成”数字签名”(signature)。

7.

看图片 读故事:轻松理解数字签名和数字证书

鲍勃将这个签名,附在信件下面,一起发给苏珊。

8.

图解数字签名和数字证书-8

苏珊收信后,取下数字签名,用鲍勃的公钥解密,得到信件的摘要。由此证明,这封信确实是鲍勃发出的。

9.

图解数字签名和数字证书-5

苏珊再对信件本身使用Hash函数,将得到的结果,与上一步得到的摘要进行对比。如果两者一致,就证明这封信未被修改过。

10.

图解数字签名和数字证书-10

复杂的情况出现了。道格想欺骗苏珊,他偷偷使用了苏珊的电脑,用自己的公钥换走了鲍勃的公钥。因此,他就可以冒充鲍勃,写信给苏珊。

11.

看图片 读故事:轻松理解数字签名和数字证书

苏珊发现,自己无法确定公钥是否真的属于鲍勃。她想到了一个办法,要求鲍勃去找”证书中心”(certificate authority,简称CA),为公钥做认证。证书中心用自己的私钥,对鲍勃的公钥和一些相关信息一起加密,生成”数字证书“(Digital Certificate)。

12.

图解数字签名和数字证书-12

鲍勃拿到数字证书以后,就可以放心了。以后再给苏珊写信,只要在签名的同时,再附上数字证书就行了。

13.

图解数字签名和数字证书-13

苏珊收信后,用CA的公钥解开数字证书,就可以拿到鲍勃真实的公钥了,然后就能证明”数字签名”是否真的是鲍勃签的。

14.

看图片 读故事:轻松理解数字签名和数字证书

下面,我们看一个应用”数字证书”的实例:https协议。这个协议主要用于网页加密。

15.

图解数字签名和数字证书-10

首先,客户端向服务器发出加密请求。

16.

图解数字签名和数字证书-16

服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。

17.

图解数字签名和数字证书-17

客户端(浏览器)的”证书管理器”,有”受信任的根证书颁发机构“列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。

18.

图解数字签名和数字证书-8

如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。

19.

看图片 读故事:轻松理解数字签名和数字证书

如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。

20.

图解数字签名和数字证书-20

数字证书如果是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。

分类
知识中心

服务器证书能够带来的哪些利益价值?

一、 商业机密的传输保障:
网站运营方与网站用户的商业机密如果采用明文传输会在传输过程泄露,比如关键价格、库存、种类等信息。尤其在会员制的网站运营商,商业机密信息泄露造成的损害,会影响企业的核心竞争力甚至生存。因此,商业机密的传输保障是明显的利益价值。
二、 用户的信任:
1、 隐私在网络时代尤为重要,在大量的用户注册、提交的过程中,明文传输不可避免地成为隐私泄露的渠道之一;在涉及到购物、消费、转帐等交易领域,用户名密码在传输过程中的泄漏更会带来直接利益损失。而通过具有保障和增值保障的服务器证书建立SSL通道后,可以避免信息的泄漏。在泄露和不泄漏的博弈中,显然避免信息泄露的网站更能带来用户的信任和良好的口碑效应。
2、 隐私的传输过程保护是信任的一方面,另一方面,SSL协议本身的透明处理带给用户的体验本身并不深刻,因此,通过有效的渠道建立用户的信任机制是服务器证书的附加价值,EV SSL证书是一个有效的技术增值手段,但是在大量原有版本浏览器不支持EV SSL证书的前题下,VeriSign信任签章是一个行之有效的途径,当然,VeriSign信任签章不是一个简单的图片拷贝,而是一个动态的可点击验证签名认可标志。VeriSign信任签章的信任程度就和服务器证书品牌价值附加度密切相关。用户对网站所建立的信任度是由VeriSign信任签章签发者身份提供信誉担保保障的。
通过上述分析,我们可以得出显而易见的结论,服务器证书的直接价值是由服务器证书强有力的鉴证手段、强大的品牌效应、合适的加密强度来保障的。
一般而言,直接价值的理解和度量比较容易接受,但是,间接价值进一步提供了风险抵御和品牌对应价值的提升,从而增强企业的核心竞争力。

分类
知识中心

服务器证书作用和功能体现的价值

一、 建立SSL加密通道,这是所有服务器证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务器证书均可以实现有保障的加密通道。

二、 服务器身份的保障,分成几个不同的层级衡量服务器的价值:

1、 无保障:自签名证书或非根预置于浏览器的服务器证书,该类证书由于存在服务器证书或非预置根证书的伪造风险,因此根本起不到服务器身份保障的作用。基本不能实现服务器证书应有价值。

2、 低保障:不进行鉴证的服务器证书,这类服务器证书虽然具有根内置的特征,但由于证书发放机构不进行鉴证,并把证书未鉴证导致发放错误的风险转嫁给实际的证书申请者,假冒网站的证书申请服务器证书后损害的是真实网站用户的利益,而真实网站用户由于对服务器证书的信任,而遭遇损害,假冒网站的证书申请者根本不可能承担发放错误的风险责任,最终损害的是真实网站经营者的信誉。

3、 保障:对服务器证书的服务器域名所有权进行严格的鉴证,避免服务器证书发放给假冒的网站,从而保障网站用户的切身利益,有效地维护网站的真实身份。

4、 增值保障:服务器证书不但保障服务期的域名所有权,而且对域名拥有企业自身身份进行鉴证,并配合浏览器内置的技术实现直观的浏览器颜色标识提醒网站用户。进一步的扩展了网站及网站运营方的身份,实现附加价值。

通过上述描述,我们可以清晰地了解服务器证书在服务器身份识别方面的递增价值,VeriSign中国大陆区的唯一合作伙伴天威诚信数字认证中心所签发的普通服务器证书,在提供第三部分描述的保障的基础上其实已完成了增值保障中的企业身份鉴证工作,因此,虽然证书申请者申请服务器证书过程稍感繁琐,但其本质上是对网站运营方的最终用户负责,对网站运营方的企业信誉负责。当然,随者增值验证EV SSL证书的发放,由于浏览器技术的进步,这一部分价值的体现将更为直观。

分类
网络新闻

微软确认Windows 8 ARM限制Linux操作系统启动

微软曾发布的一份文件显示,Windows 8 UEFI安全启动功能下,将不能运行任何第三方操作系统。若微软通过强制性的手段推广运用安全启动功能,则该功能要求任何的启动时间代码都要通过一个关键 词以进行数字签名。该文件引起了巨大的争议,不少开发者都认为这是微软启动锁定诸如GNU/Linux等第三方操作系统。

微软确认Windows 8 ARM限制Linux操作系统启动-1
现有的引导进程:BIOS启动任何引导装载程序,甚至是恶意软件

微软确认Windows 8 ARM限制Linux操作系统启动-2
Windows 8安全启动:UEFI只启动通过认证的引导程序

对此争议,微软很快发表声明予以回击。在声明中,微软表示原始设备制造商们(OEMs)将会为购买者提供禁用UEFI安全启动模式的手段,该手段将使得购买者可以运用非数字签名的操作系统。

而根据微软公布的最新Windows 8认证要求来看,那些不基于ARM操作系统的,传统的桌上型电脑与笔记本电脑将允许存在一种自定义模式,该模式使得用户可以阻止UEFI安全启动模式的运 行。如此一来,如果制造商们想要将Windows的标示贴上其产品的话,那些基于ARM操作系统的平板电脑与低能笔记本电脑在将来就必须拥有此种功能。

分类
常见问题

SSL安全链接常见问题解答

是否需要升级联机帐户才可使用扩展验证EV SSL证书?

不需要,您不需要更新联机帐户或信息即可使用 EV SSL证书。 一些仿冒电子邮件试图通过宣称需要升级帐户以更安全地使用 EV SSL证书来诱骗您提供个人或财务信息。

Internet Explorer 本身支持 EV SSL证书,您除了访问网站以外不需要进行任何其他操作。如果您的银行使用 EV SSL证书,地址栏将变为绿色。如果没有看到绿色地址栏,则该网站不使用扩展验证证书。

如果认为网站试图误导我相信其身份,我该怎么做?

如果认为该站点正试图误导您相信其身份,应该与证书颁发机构(其名称显示在证书或者安全状态栏上)联系。

如果某个网站具有安全事务,是否表示该网站可以安全使用?

不一定。SSL安全(加密)连接并不保证一定可以安全使用。安全连接仅根据证书组织提供的信息,向您保证网站的身份。您仅应考虑向熟悉和信任的网站提供个人信息。

如何增加联机事务的安全性?

如果 Web 上不存在任何安全保证,通过使用熟悉和信任的网站可以将联机隐私或安全问题降至最低。Internet Explorer 无法判断某个网站所有者是否值得信任。请尝试使用之前使用过或信任的朋友或家人推荐的站点。此外,您应启用 Internet Explorer 的 SmartScreen 筛选器来帮助识别欺骗性网站。

同时具有安全和不安全(混合)内容时表示什么?

安全和不安全内容或混合内容表示某个网页试图同时使用安全 (HTTPS/SSL) 和不安全 (HTTP) Web 服务器连接来显示元素。这通常在显示来自不安全的服务器的图像、横幅或脚本的在线商店或金融站点上出现。

显示混合内容的风险在于,不安全网页或脚本可能能够访问安全内容中的信息。

注意

Internet Explorer 使用一种称为安全套接字层 (SSL) 的加密协议访问安全网页。这些页面使用 HTTPS 前缀,而普通网页使用 HTTP 前缀。

分类
常见问题

为什么在浏览器地址栏中看到不同颜色?

访问使用安全连接的网站时,浏览器地址栏中的安全状态的颜色表明该SSL证书是否有效,并且会显示SSL证书验证组织所执行的验证级别。

下表描述了安全状态的颜色所表示的含义。

颜色 含义
红色 该证书已过期、无效或者发生错误。
黄色 无法验证该证书或颁发该证书的证书颁发机构的身份。这可能表示该证书颁发机构的网站出现问题。
白色 该证书已正常验证。这表示浏览器与该网站之间的通信已加密。该证书颁发机构未对该网站的商业行为作出任何声明。
绿色 该证书使用了扩展验证EV SSL证书。这表示浏览器与网站之间的通信已加密,并且该证书颁发机构已确认该网站由某企业所有或经营,该企业是根据该证书和安全状态栏上显示的权限合法组织的。该证书颁发机构未对该网站的商业行为作出任何声明。
分类
常见问题

判断网站链接是否安全的方法

什么是SSL安全连接?

SSL安全连接是指在正访问的网站和 Internet Explorer 之间以加密的方式交换信息。加密是利用网站提供的称为SSL证书的文档来实现的。将信息发送到网站时,该信息会在计算机上加密,然后在网站上解密。正常情况下,该信息在发送期间无法被读取或篡改,但是某些人可能会找到破解加密的方法。

即便计算机和网站之间的连接经过加密,也无法保证网站值得信任。网站使用或分发信息的方式仍可能会泄漏您的隐私。

安全连接是专用的吗?

不一定。即便发送的信息经过了加密(编码),中间方也可能查看到您正在连接的网站。通过获悉您正在连接的网站,另一方可能能够准确地知道您在该网站上执行的操作。例如,如果您在工作时使用计算机寻找一份新工作,您的公司可能会监视网站中的关键词或保留访问过的站点的日志。如果您将简历上传到求职网站,即便该文档经过了加密,您的公司仍然能够获悉您正在寻找一份新工作。

如何判断是否使用了安全连接?

在 Internet Explorer 的“安全状态”栏中,将看到锁定图标 。安全状态栏位于地址栏的右侧。

用于加密连接的SSL证书也包含有关网站所有者或组织身份的信息。可以单击锁状图标查看网站的身份。