編輯部現今的網際網路,有許多創新的應用程式讓網站、行動裝置及桌面軟體的功能變得更加豐富,也讓工作更順利、娛樂生活更精彩。然而,每個人都希望使用最新的應用程式,但沒有使用者會願意屈就於不夠嚴格的安全防護或軟體功能。
 |
| VeriSign 亞太區總經理暨認證銷售部副總裁 Jim DraKe |
惡意程式碼(或稱為「惡意軟體」)日益猖獗,開發人員想要安全地透過網路來提供各種軟體與更新,變得更加困難。軟體和硬體供應商都希望能完美地提供他們的創新產品,在為用戶提供最新產品的同時,網路管理員必須付出所需的各種投資以保護他們的無限資產,維持「零容錯」的網路安全。而一般的使用者、軟體平臺及網路,又要如何辨認哪些程式碼是可以信任的呢?
答案是「程式碼簽章」可以解決這個問題。程式碼簽章是備受業者推薦且廣為使用的防禦方法,可以防止程式被竄改、損毀或遭惡意軟體感染,讓一般使用者能知道負責該軟體的是哪家公司,並確認在該軟體的開發人員簽署之後,軟體的程式碼沒有經過任何惡意竄改。換句話說,程式碼的簽章功能就像一種數位的「保護膜」一樣,客戶也因而可以在自己的電腦上安心下載、安裝每個軟體。
有了程式碼簽章,開發人員或軟體發行者就能使用「私密」(意指經過加密的)金鑰,為軟體的程式碼或內容加上數位簽章。軟體平臺或是應用程式,則會在下載過程中使用相對應的「公開」金鑰來解密簽章,比較簽署應用程式的加密雜湊 (hash) 與程式上的雜湊是否相符。使用具備公信力的第三方憑證管理中心 (CA) 所核發的公開金鑰,更能鞏固程式碼簽章的安全性,且可用性更高。若程式碼具備足以信賴的簽章,就會被自動接受,或者詢問一般使用者是否要信任該程式碼。使用者也可以選擇要單次或是每次都信任該程式碼。這樣一來,在所有的情況下,一般使用者都可以確知軟體的作者以及確認在開發人員簽署之後,軟體程式碼並未遭到竄改。
本文目錄
自行簽署 vs. 第三方簽署的程式碼簽章
部份軟體發行者選擇自行簽署程式碼,而不透過憑證管理中心。顧名思義,自行簽署的程式碼就是由軟體的創作者來簽署。若軟體的開發人員與發行者是同一人(或同一單位),則不得以自行簽署程式碼執行第三方驗證。若是這樣做,一般使用者仍會懷疑所下載的軟體是否具有惡意。此外,透過自行簽署程式碼核發的數位憑證無法廢止。因此,如果私密金鑰不慎外洩,那些能夠存取終端使用者系統的駭客就能監控網路活動,進而竊取個人資料或信用卡資料等,並且將惡意程式碼置入連結,假冒他人身分。
一般使用者的獲益
除了能幫助建立一般使用者的信任,那些信譽良好、具備公信力的憑證管理中心簽署的程式碼簽章,還可以協助減少錯誤訊息以及安全性警示出現的頻率。強化使用者的經驗有助於提高程式碼簽證的採用程度,讓更多人下載受其保護的軟體。一般使用者遇到未簽署或自行簽署的程式碼時,程式的取得程序會中斷,應用程式便無法成功下載或是出現警示畫面要求使用者回覆。減少安全性警示及錯誤訊息出現的機會,能建立應用程式和使用者之間的信任,進而提高客戶信心、滿意度及往後的下載次數。
預先警告客戶程式碼遭到破壞,也可以加強用戶的信任。如前文所述,數位簽章可以證明一項軟體內容是否完整,客戶因而可以確知程式碼並未遭到竄改。如果用於簽署應用程式的雜湊與下載的應用程式雜湊不符,使用者就會收到安全性警示,或直接拒絕存取。也就是說,一旦程式碼的任何一個位元遭到修改,程式碼簽章數位憑證就會偵測到變更,並且提醒使用者。
提高銷售成長的實際案例
美國的 MuvEnum 公司採納了程式碼簽章之後,業績表現大幅成長。 MuvEnum 透過網際網路供應經濟實惠、易於使用的軟體,包括可將音訊檔案轉換成音訊裝置播放格式的應用程式。在使用程式碼簽章之前,MuvEnum 的線上軟體銷售額面臨衰退,因為使用者不時會看見「下載未簽署內容」的警示訊息。程式碼簽章憑證正是他們需要的解決之道,不僅減少警示訊息出現的次數,更讓客戶安心使用。 MuvEnum 在應用程式開發、散佈的過程中使用程式碼簽章,一個月後,該公司的銷售額便迅速躍升了 21% 以上。提供安全性認證服務及弱點評估服務。
建立信任關係
由具備公信力的憑證管理中心簽署的程式碼簽章,有助於軟體發行者建立與客戶間的信任關係,因為程式碼簽章能讓用戶確認發行者是否正確無誤,並得知下載的軟體在發行者製作後沒有遭到竄改。一旦成功建立與用戶間的信任,使用者下載軟體的意願便會隨之提升,軟體開發人員也能透過網際網路來提高軟體的銷量,並擴大產品的散佈範圍。值此同時,相對於未經簽署或自行簽署的程式碼,由具備公信力的憑證管理中心簽署的程式碼能改善使用者經驗,也有助提高客戶的滿意度及回客率。
(作/VeriSign 亞太區總經理暨認證銷售部副總裁 Jim Drake)