在目前木馬和病毒橫行的互聯網環境下，當開發者或發行者将軟件、控件、驅動程序等發布到網上時，就必須考慮程序能否被用戶安全的使用，而這恰是一個棘手的問題。近年來，不時曝出應用軟件被黑客植入惡意代碼的報道，感染了惡意代碼的軟件不僅會給用戶造成不便或危害，更會降低用戶的信任度并損害開發者的名譽，同時也是對開發者知識産權的踐踏。針對這種情況，開發者或發行者需要一種途徑可以提示用戶不要安裝那些表面正常，但實際已被惡意代碼侵入的程序。而目前最佳的途徑就是利用代碼簽名證書對程序代碼進行數字簽名，通俗點講就是對軟件代碼進行認證。那麼，代碼簽名證書是如何保護開發者和用戶們的權益呢？

什麼是代碼簽名證書

代碼簽名證書是一張數字證書，它的實現基礎是PKI/CA（公鑰基礎設施/第三方認證授權機構）安全體系。代碼簽名證書通過CA簽發，确立其可信性、公正性；通過PKI體系中的公、私鑰技術實現加、解密和簽名。代碼簽名證書在簽發後可以封裝在程序安裝包中，當用戶下載了經過簽名的安裝包并進行安裝時，計算機會自動驗證該代碼的可信性，并提示用戶可以放心下載和使用。

而經過代碼簽名證書認證的軟件在安裝時，發行者身份一目了然，來源更為清楚：

同時，用戶還還可以查看代碼簽名證書的詳細信息：

如何選用代碼簽名證書？

開發者一定要從Windows操作系統内置的受信任的根證書頒發CA機構購買代碼簽名證書，否則無法通過驗證，也就是如果使用了不受信任的代碼簽名證書，計算機系統仍會按“未知發行者”進行警告。同時，對于國内的軟件開發者來說，從防止技術信息洩露的角度考慮，可優先選擇根證書系統建在國内的國産代碼簽名證書。目前，我國隻有CFCA（中國金融認證中心）在國内自建了代碼簽名證書根證書系統（非從國外收購、遷移、交叉簽名），同時其證書通過WebTrust國際安全審計認證，獲得全球信任，可以全球通用。

目前，CFCA提供兩種類型的代碼簽名證書。其中，OV型（組織型）代碼簽名證書使用SHA256簽名算法，能為軟件代碼提供安全身份認證，可以滿足絕大多數發行者的需求。而對于部分對軟件開發安全及用戶體驗有較高需求的開發者來說，可以選用EV型（增強型）代碼簽名證書。EV型證書存儲在Ukey中，存儲安全性更高，同時配有時間戳系統，從時間上進一步增強代碼簽名的可信性和認證強度。由于安全系數和認證強度的提高，EV型代碼簽名證書可以獲得操作系統更高的信任待遇，例如在微軟的APP Store中，如果使用了EV證書，會有額外的信任度标識，帶給用戶更佳的信任體驗。

中國電子銀行網 陳碩