作为一种简单的安全手段,我之前检查了我的程序下载的更新包的数字签名与它的公钥,以确保它来自我。但是,由于我使用的是廉价的代码签名证书 (Tucows),因此我无法更新现有证书,因此每次需要更新时密钥都会更改。
因此,更可靠的方法是根据我众所周知的组织字符串验证嵌入在签名程序集中(显示在 UAC 对话框中)的组织信息,因为这将继续保持不变。
有谁知道如何从数字签名的程序集中获取这些信息?
问问题
436 次
2 回答
1
仅使用您的密钥检查程序集是否具有强名称还不够吗?Authenticode 主要有利于最终用户,他们可以识别出你就是你所说的人(由于 cert. authority 的努力)。在我看来,在您的情况下,身份验证证书中没有比简单的强名称额外的安全性。
我假设一个强名称更容易验证,并且您不必担心您的密钥更改。
于 2011-04-21T16:13:59.033 回答
0
假设程序集是使用 Authenticode 技术和 X.509 证书(而不仅仅是强名称)签名的,您需要一个 Authenticode 阅读器代码(或组件)来提取证书并对其进行验证。之后,您将在证书的 SubjectName 或 SubjectRDN 记录的字段之一中找到组织名称。
我们在 PKIBlackbox 包中提供Authenticode 阅读器类和证书操作类。
于 2010-04-15T06:07:13.583 回答