怎樣驗證軟體是否可信?是否被篡改?

2022-08-22 11:03:09 字數 1369 閱讀 6714

證書除了可以用來驗證某個**,還可以用來驗證某個檔案是否被篡改。軟體開發者需要購買**簽名證書給發布的軟體簽名,來驗證軟體**的**與完整性。後面專門告訴大家如何驗證檔案的數字簽名。就拿 windows 的例子來說吧。

比如,俺手頭有乙個 firefox 的安裝檔案(帶有數字簽名)。當俺檢視該檔案的屬性,會看到如下的介面。眼神好的同學,會注意到到上面有個「數字簽名」的標籤頁。如果沒有出現這個標籤頁,就說明該檔案沒有附帶數字簽名。

選擇該標籤頁,看到如下介面。

順便說一下,某些數字簽名中沒有包含「郵件位址」,那麼這一項會顯示「不可用」;同樣的,某些數字簽名沒有包含「時間戳」,也會顯示「不可用」。不要緊張,這裡顯示的「不可用」跟數字簽名的有效性沒關係

一般來說,簽名列表中,有且僅有乙個簽名。選中它,點「詳細資訊」按鈕。跳出如下介面:通常這個介面會顯示一行字:「該數字簽名正常」(圖中紅圈標出)。如果有這行字,就說明該檔案從出廠到你手裡,中途沒有被篡改過(是原裝滴、是純潔滴)。

如果該檔案被篡改過了(比如,感染了病毒、被注入木馬),那麼對話方塊會出現乙個警告提示「該數字簽名無效」(圖中紅圈標出)。介面如下:

不論簽名是否正常,你都可以點「檢視證書」按鈕。這時候,會跳出證書的對話方塊。如下:

從後乙個介面,可以看到俺剛才說的證書信任鏈。圖中的信任鏈有3層:

第1層是根證書(thawte premium server ca)。

第2層是 thawte 專門用來簽名的證書。

第3層是 mozilla 自己的證書。 

目前大多數知名的公司(或組織機構),其發布的可執行檔案(比如軟體安裝包、驅動程式、安全補丁),都帶有數字簽名。你可以自己去看一下。

建議大夥兒在安裝軟體之前,都先看看是否有數字簽名?如果有,就按照上述步驟驗證一把。一旦數字簽名是壞的,那可千萬別裝。

怎樣驗證軟體是否可信?是否被篡改?

證書除了可以用來驗證某個 還可以用來驗證某個檔案是否被篡改。軟體開發者需要購買 簽名證書給發布的軟體簽名,來驗證軟體 的 與完整性。後面專門告訴大家如何驗證檔案的數字簽名。就拿 windows 的例子來說吧。比如,俺手頭有乙個 firefox 的安裝檔案 帶有數字簽名 當俺檢視該檔案的屬性,會看到如...

怎樣驗證軟體是否可信?是否被篡改?

證書除了可以用來驗證某個 還可以用來驗證某個檔案是否被篡改。軟體開發者需要購買 簽名證書給發布的軟體簽名,來驗證軟體 的 與完整性。後面專門告訴大家如何驗證檔案的數字簽名。就拿 windows 的例子來說吧。比如,俺手頭有乙個 firefox 的安裝檔案 帶有數字簽名 當俺檢視該檔案的屬性,會看到如...

怎樣驗證軟體是否可信?是否被篡改?

證書除了可以用來驗證某個 還可以用來驗證某個檔案是否被篡改。軟體開發者需要購買 簽名證書給發布的軟體簽名,來驗證軟體 的 與完整性。後面專門告訴大家如何驗證檔案的數字簽名。就拿 windows 的例子來說吧。比如,俺手頭有乙個 firefox 的安裝檔案 帶有數字簽名 當俺檢視該檔案的屬性,會看到如...