編輯部2010-10-201min0

[產業經驗]淺談「程式碼簽章」重要性

現今的網際網路,有許多創新的應用程式讓網站、行動裝置及桌面軟體的功能變得更加豐富,也讓工作更順利、娛樂生活更精彩。

現今的網際網路,有許多創新的應用程式讓網站、行動裝置及桌面軟體的功能變得更加豐富,也讓工作更順利、娛樂生活更精彩。然而,每個人都希望使用最新的應用程式,但沒有使用者會願意屈就於不夠嚴格的安全防護或軟體功能。

VeriSign亞太區總經理暨認證銷售部副總裁Jim DraKe

惡意程式碼(或稱為「惡意軟體」)日益猖獗,開發人員想要安全地透過網路來提供各種軟體與更新,變得更加困難。軟體和硬體供應商都希望能完美地提供他們的創新產品,在為用戶提供最新產品的同時,網路管理員必須付出所需的各種投資以保護他們的無限資產,維持「零容錯」的網路安全。而一般的使用者、軟體平臺及網路,又要如何辨認哪些程式碼是可以信任的呢?

答案是「程式碼簽章」可以解決這個問題。程式碼簽章是備受業者推薦且廣為使用的防禦方法,可以防止程式被竄改、損毀或遭惡意軟體感染,讓一般使用者能知道負責該軟體的是哪家公司,並確認在該軟體的開發人員簽署之後,軟體的程式碼沒有經過任何惡意竄改。換句話說,程式碼的簽章功能就像一種數位的「保護膜」一樣,客戶也因而可以在自己的電腦上安心下載、安裝每個軟體。

有了程式碼簽章,開發人員或軟體發行者就能使用「私密」(意指經過加密的)金鑰,為軟體的程式碼或內容加上數位簽章。軟體平臺或是應用程式,則會在下載過程中使用相對應的「公開」金鑰來解密簽章,比較簽署應用程式的加密雜湊(hash)與程式上的雜湊是否相符。使用具備公信力的第三方憑證管理中心(CA)所核發的公開金鑰,更能鞏固程式碼簽章的安全性,且可用性更高。若程式碼具備足以信賴的簽章,就會被自動接受,或者詢問一般使用者是否要信任該程式碼。使用者也可以選擇要單次或是每次都信任該程式碼。這樣一來,在所有的情況下,一般使用者都可以確知軟體的作者以及確認在開發人員簽署之後,軟體程式碼並未遭到竄改。

自行簽署vs.第三方簽署的程式碼簽章

部份軟體發行者選擇自行簽署程式碼,而不透過憑證管理中心。顧名思義,自行簽署的程式碼就是由軟體的創作者來簽署。若軟體的開發人員與發行者是同一人(或同一單位),則不得以自行簽署程式碼執行第三方驗證。若是這樣做,一般使用者仍會懷疑所下載的軟體是否具有惡意。此外,透過自行簽署程式碼核發的數位憑證無法廢止。因此,如果私密金鑰不慎外洩,那些能夠存取終端使用者系統的駭客就能監控網路活動,進而竊取個人資料或信用卡資料等,並且將惡意程式碼置入連結,假冒他人身分。

一般使用者的獲益

除了能幫助建立一般使用者的信任,那些信譽良好、具備公信力的憑證管理中心簽署的程式碼簽章,還可以協助減少錯誤訊息以及安全性警示出現的頻率。強化使用者的經驗有助於提高程式碼簽證的採用程度,讓更多人下載受其保護的軟體。一般使用者遇到未簽署或自行簽署的程式碼時,程式的取得程序會中斷,應用程式便無法成功下載或是出現警示畫面要求使用者回覆。減少安全性警示及錯誤訊息出現的機會,能建立應用程式和使用者之間的信任,進而提高客戶信心、滿意度及往後的下載次數。

預先警告客戶程式碼遭到破壞,也可以加強用戶的信任。如前文所述,數位簽章可以證明一項軟體內容是否完整,客戶因而可以確知程式碼並未遭到竄改。如果用於簽署應用程式的雜湊與下載的應用程式雜湊不符,使用者就會收到安全性警示,或直接拒絕存取。也就是說,一旦程式碼的任何一個位元遭到修改,程式碼簽章數位憑證就會偵測到變更,並且提醒使用者。

提高銷售成長的實際案例

美國的MuvEnum公司採納了程式碼簽章之後,業績表現大幅成長。MuvEnum透過網際網路供應經濟實惠、易於使用的軟體,包括可將音訊檔案轉換成音訊裝置播放格式的應用程式。在使用程式碼簽章之前,MuvEnum的線上軟體銷售額面臨衰退,因為使用者不時會看見「下載未簽署內容」的警示訊息。程式碼簽章憑證正是他們需要的解決之道,不僅減少警示訊息出現的次數,更讓客戶安心使用。MuvEnum在應用程式開發、散佈的過程中使用程式碼簽章,一個月後,該公司的銷售額便迅速躍升了21%以上。提供安全性認證服務及弱點評估服務。

建立信任關係

由具備公信力的憑證管理中心簽署的程式碼簽章,有助於軟體發行者建立與客戶間的信任關係,因為程式碼簽章能讓用戶確認發行者是否正確無誤,並得知下載的軟體在發行者製作後沒有遭到竄改。一旦成功建立與用戶間的信任,使用者下載軟體的意願便會隨之提升,軟體開發人員也能透過網際網路來提高軟體的銷量,並擴大產品的散佈範圍。值此同時,相對於未經簽署或自行簽署的程式碼,由具備公信力的憑證管理中心簽署的程式碼能改善使用者經驗,也有助提高客戶的滿意度及回客率。

(作/VeriSign亞太區總經理暨認證銷售部副總裁Jim Drake)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416