Сертификат разработчика ( Code Signing Certificate ) обеспечивает защиту целостности кода Ваших программных продуктов, макросов, сценариев, скриптов, документов и т.п. Сертификат разработчика позволяет вам подписывать код ваших апплетов, подключаемых модулей (plug-in), макросов и другого ПО для мобильных телефонов и обычных компьютеров. Подписанный программный объект нельзя изменить, сократить, дополнить, инфицировав вирусом не нарушив целостности цифровой подписи.

Когда клиенты покупают программное обеспечение в магазине, его источник очевиден. Они могут назвать его издателя, и убедится в целостности пакета. Эти факторы позволяют клиентам принять решения, какое программное обеспечение купить и на сколько "доверять" его изделиям. Покупатели, которые запускали подписанный в цифровой форме Active X контроль, динамически подключаемые библиотеки,.cab файлы, или содержимое HTML с вашего сайта, могут быть уверены в том, что Ваш код действительно не был подделан или поврежден, с момента его создания и подписания. Цифровые IDs служат виртуальной "упаковкой" для вашего программного обеспечения: после того, как Вы подписали код, его каким-то образом подделали, цифровая подпись будет повреждена, и бдительный клиент узнает, что код был изменен и стал неверным.

Решением этих проблем служит технология Microsoft's Authenticode в комплексе с Digital IDs от Comodo. Кодовое подписание, через использование цифровых подписей, предоставляет возможность разработчикам программного обеспечения включать информацию о себе, а также код со своим программным обеспечением.

Когда клиенты запускают программное обеспечение, подписанное с Сертификатом кодового Подписания, изданным Comodo, они могут быть уверены в:

• Content Ресурс: Конечные пользователи могут подтвердить, что программное обеспечение действительно происходит от издателя, который его подписал.
• Content Целостность: Конечные пользователи могут проверить, что программное обеспечение не было изменено или испорчено с момента подписания.

Пользователи предпочитают надежность этого программного обеспечения, потому что знают кем оно было издано, и что код не был подделан. В крайних случаях оно исполняет неприемлемую или злонамеренную деятельность на их компьютерах; также пользователи могут предъявить иск против издателя. Ответственность и потенциальное обращение за помощью служит сильным защитным средством по распространению фальшивого кода. Кодовое Подписание приносит пользу разработчикам и Web мастерам, так как это служит основой доверия к их именам и делает более сложной фальсификацию их продуктов. Подписывая их код, разработчики создают надежные отношения с пользователями, которые знают, что могут с уверенностью запустить программное обеспечение, подписанное с издателями или Web-узлом. Со Свидетельствами Кодового Подписания, разработчики могут создать увлекательные Web-страницы, используя подписанные элементы управления ActiveX™, Java™ апплеты, или другие подписанные программы. Пользователи, в свою очередь, принимают обдуманные решения какое именно программное обеспечение они хотят для запуска, зная эго издателя и подлинность.

Кодовое подписание широко используется для защиты программного обеспечения, если оно распространяется через Интернет. Оно не изменяет эго; просто прилагает цифровую подпись непосредственно к рабочей программе. Используйте цифровые подписи при распространении данных, чтоб уверить клиентов в том, что они действительно прибывают от вас. Цифровая подпись обеспечивает достаточно информации, чтоб уверить сторону, подписавшую документ, и гарантию, что впоследствии код не был изменен. Кодовое подписание цифровых IDs (или свидетельств) позволяет content издателям, включая разработчиков программного обеспечения, подписать его содержимое, которое включает объекты, макросы, драйверы устройства, микропрограммные изображения, вирусные модификации, конфигурационные файлы или другие виды контента для безопасной поставки по Интернету.

Цифровые подписи созданы, с использованием алгоритма подписи пользовательского ключа, такого как RSA криптографии с открытым ключом. Алгоритм шифрования открытым ключом использует два разных ключа: общественный ключ и частный ключ (под названием ключевая пара). Частный ключ известен только эго владельцу, в то время, как общественный ключ может быть доступен каждому. Алгоритм шифрования открытым ключом проектируется таким образом, что, если один ключ используется для кодирования, другой необходим для расшифровки. К тому же, ключ для расшифровки не может быть вычислен от ключа кодирования. В цифровых подписях, частный ключ производит подпись, и соответствующий общественный ключ утверждает ее.

Кому нужен Код Подписания Цифрового ID?
Каждый издатель программного обеспечения, что планирует распространять код или содержимое через Интернет или экстранет рискует копированием и вмешательством. Цифровое Подписание Кода IDs Comodo для Microsoft Authenticode защищает против каких-либо рисков. Comodo предлагает Код Подписи Цифровых IDs, что проектируется для коммерческих разработчиков программного обеспечения: компаний и других организаций, что его издают. Этот класс Цифрового ID гарантирует идентичность организации и законность, подобно деловой лицензии, и проектируется, для представления уровня гарантии, который обеспечивается сегодня розничными каналами для программного обеспечения.

Доверие клиента
Кодовое Подписание Цифрового ID защищает (уверяет) ваших клиентов, что целостность кода, который они запускают с вашего сайта, не повреждена – не подделана и не была изменена при транспортировке.

Подлинность
После загрузки, конечные пользователи могут быть уверены, что код, который они получили, действительно прибыл от вас, и помог вам сохранить деловую репутацию и интеллектуальную собственность. Цифровые IDs позволяют клиентам установить автора подписанного кода в цифровой форме и связаться с ним, если возникают проблемы или вопросы.

Seamless Integration with Industry-Standard Technology
Большинство обозревателей не примут команды действия от запущенного кода пока он не будет подписан в соответствии с свидетельством от доверенного Certificate Authority, например такого, как Comodo.

Легкость использования
Свидетельства кодового подписания легки в использовании в сочетании с программными средствами издателя, которые разработчики используют при создании продукции, макросов и объектов.

Как Authenticode работает с Comodo Digital IDs?
Authenticode зависит от методов криптографии промышленного стандарта, как например X.509 v3 сертификаты и PKCS #7 и #10 стандарты подписи. Эти хорошо-испытаны протоколы криптографии, гарантируют выполнение технологии кодового подписания. Authenticode использует технологию цифровой подписи, чтоб уверить потребителей о происхождении и целостности программного обеспечения. В цифровых подписях частный ключ производит подпись, а соответствующий общественный ключ утверждает ее. Чтоб экономить время Authenticode протоколы используют криптографическую вставку, которая является односторонней путаницей документа.

Code Digital IDs Signing Process:

Основные положения поданы ниже

1. Издатель получает Код Цифровой Подписи ID от Comodo.
2. Издатель создает код.
3. Использование SIGNCODE.EXE сервиса, издатель:
   • Создает путаницу из кода, используя алгоритм, как например MD5 или SHA,
   • Кодирует путаницу, используя его/ее частный ключ,
   • Создает пакет, содержащий код, кодируемую путаницу, и сертификат издателя.
4. Конечный пользователь знакомится с пакетом.
5. Microsoft обозреватель конечного пользователя исследует издательское Цифровое ID. Используя основу Открытого ключа Comodo, который уже заложен в Authenticode-разрешенные приложения, обозреватель конечного пользователя проверяет код Цифовой Подписи ID (который непосредственно подписывается Comodо основой Частного Ключа).
6. Используя общественный ключ издателя, что содержится в пределах его цифрового ID, обозреватель конечного пользователя расшифровывает подписанную путаницу.
7. Обозреватель конечного пользователя просматривает код через такой же смешанный алгоритм, что и издатель, создавая новую путаницу.
8. Обозреватель конечного пользователя сравнивает две путаници. Если они идентичны, обозреватель сообщает, что содержимое проверено Comodo, и конечные пользователи уверены, что код подписал издатель, идентифицированный в Цифровом ID, и что он не был изменен с момента подписания.

Весь процесс непрерывный и понятный конечным пользователям, которые видят только сообщение, что содержимое подписано эго издателем и проверено Comodo.

Подпись кода програмного продукта

Шесть шагов в Кодовом Подписании

Эти инструкции обеспечивают краткий обзор получения и использования Microsoft Authenticode и Кодовое Подписание Цифрового ID от Comodo.

Шаг 1: Убедитесь, что вы Управляете Правильными Версиями всех Инструментов:

Они включают:

• Internet Explorer 4.0 or later
• Internet Client SDK

Шаг 2: Обратитесь за Кодовым Подписанием ID для Authenticode от Comodo

В процессе обращения за Цифровим Подписанием ID, ваш обозреватель будет производить частный ключ. Вы должны эго запомнить (называется MyPrivateKey.pvk) на гибком диске, который записывается в коробке сейфа или в другом безопасном месте. Пожалуйста, сделайте резервную копию этого ключа, так как он понадобиться для подписания кода. Он никогда не будет отправлен в Comodo, так что если вы эго потеряете, вы не сможете подписать код. Если ключ будет потерян или украден, немедленно свяжитесь с Comodo.

Шаг 3: Pick up your Digital ID

Когда вы завершили применение процесса, Comodo сверяет количество шагов, для проверки Вашей идентичности. Для коммерческих издателей, Comodo создает значительное количество второстепенной проверки. Как результат, это возьмет приблизительно 3-5 дней для проверки вашей информации и выпуска Цифрового ID.

В конце процесса, Comodo отправит вам e-mail, что содержит PIN (Личный Идентификационный Номер). Следуйте за инструкциями на этом e-mail чтоб подобрать ваш цифровой ID. Сохраните ваш Цифровой ID как файл (например. MyCredentials.spc).

Пожалуйста отметьте, что вы должны использовать такой же механизм для получения вашего Цифрового ID. Потом вы можете использовать частный ключ и Цифровой ID для подписи файлов на другом механизме.

Шаг 4: Подготовьте файлы к подписанию

Если вы создаете любой PE файл (.exe, .ocx, .dll или другой), вам не нужно делать что-то дополнительно. Для cab файлов, вам нужно добавить следующий вход к вашему .ddf файлу. Перед созданием cab файла: Наберите ReservePerCabinetSize=6144

Шаг 5. Подпись ваших файлов

Вы можете подписать Ваш .exe, или .cab, .ocx, или .dll файл. Для подписания используйте сервисний SIGNCODE.EXE, что входит в ActiveX SDK. Также Вам будет нужен Ваш Цифровой ID файл (обычное название MyCredentials.spc) и дискета, содержащая Ваш частный ключ (MyPrivateKey.pvk).

Как часть этого процесса, вам будет нужно знать URL от Comodo, временную отметку сервера http://timestamp.comodoca.com/authenticode

Шаг 6: Проверьте Вашу Подпись

Microsoft SDK содержит программу под названием chktrust.exe. Она может использоваться при проверке вашей подписи перед распространение вашего файла.

Проверяют подписанный .exe, .dll или .ocx файл, прогоном chktrust filename
Поверяют подписанный cab файл, прогоном chktrust -c cabfilename.cab

Если процесс подписания был успешным, это покажет сертификат. Поздравления, Вы только что подписали ваш файл в цифровой форме. Когда файл будет запущен с Web-сайта с помощью Internet Explorer, он продемонстрирует такой же сертификат пользователю. Если после подписания файл каким-то образом был подделан, потребитель будет уведомлен об этом, и получит выбор для отказа установки.

Заключение
Microsoft вместе с Comodo стремятся сделать Internet безопасной и жизнеспособной платформой для торговли и распространения содержимого. С Authenticode и Кодовым Подписанием Цифровых IDs от Comodo, Ваш код будет таким же безопасным и надежным для Ваших клиентов, так как если б Вы упаковали и продали его с прилавка в магазине.

Code Signing Certificates FAQ

Who needs a Code Signing ID?
Any publisher who plans to distribute code or content over the Internet or over corporate extranets risks corruption and tampering

How does the Comodo Code Signing solution work?
Comodo Code Signing uses authenticated digital signatures to assure the publisher details and content integrity of downloadable code.

Is the Comodo Code Signing solution the right product for me?
Comodo Code Signing is essential if you wish to protect your reputation as an authenticated code publisher.

Does Comodo certify the content of my code?
No. We certify that the software really comes from the publisher who signed it. We also certify that the software has not been altered or corrupted.

Is Comodo Code Signing the right product for my business?
A Comodo Code Signing certificate is strongly recommended for any publisher intending to distribute code or content over the Internet or over corporate extranets. Customers are aware of the dangers involved and are far more trusting of a signed download. A Comodo Code Signing certificate is an effective way to distribute authentic software over the Internet. It is a best-of-breed product that offers full protection, ease of use and flexible.

How long can I use my developer certificate?
Code signing certificates are valid for one or two years depending on which life cycle you choose when you purchase the certificate.

Time Stamping Server – Location and usage
In order to sign your code, you pass the code which you want to authenticate through a hashing algorithm and then use your private key to sign the hash, which results in a digital signature. You then build a signature block, which contains the digital signature and the code-signing certificate. Tools like Authenticode let you time stamp the signature block based on the current date and time that a time stamping service provider, such as Comodo, provides. Finally, you bind the time stamped signature block to the original software. Now you can publish the signed software on your Web site for download.

Is timestamped code valid after a Code Signing Certificate expires?
Timestamping ensures that code will not expire when certificate expires. If your code is timestamped the digital signature is valid even though the certificate has expired. A new certificate is only necessary if you want to sign additional code. If you did not use the timestamping option during the signing, you must re-sign your code and re-send it out to your customers.

Which utility is used to verify whether the file has been timestamped?
Use the chktrust.exe utility included with the Authenticode SDK tools to verify whether the file has been timestamped. The date and time will be displayed when the file has been timestamped. "Unknown date and time" will appear when the file has NOT been timestamped.

Do code signing certificates last longer than 1 year?
Yes. It is now possible to request a 2-year code signing certificate.

Is there a limit to the amount of applications allowed to be signed with a Code Signing Certificate?
Comodo does not limit you to any specific number. You can sign as many applications with a Code Signing Certificate as you wish, provided that the applications are going to be used for and distributed by the Organization that owns the certificate.

What settings should be enabled to allow a user to receive the certificate pop-up?

• In order to receive the Certificate pop-up when the file is downloaded, you will need to enable a setting in Internet Explorer.
• The setting can be found under: Tools > Internet Options > Advanced > Scroll to the bottom of the list to 'Security'
• Make sure that the following option is checked: "Check for signatures on downloaded programs".

What type of assurance a customer obtains when downloading software signed with Authenticode?
When customer downloads software signed with Authenticode they can be assured of:

• Content Source: The software really comes from the publisher who signed it.
• Content Integrity: The software has not been altered or corrupted since it was signed.

How do I ensure that both I and my customers have the latest Microsoft roots in my certificate store.
For Windows XP, everything is Automatic, meaning well over 200 Million customers will automatically have access to all the latest certificates. For older versions of the Windows operating system it is highly recommended that the latest root update is installed.Good security policy dictates that your root certificate store should have the most current root certificate references from all trusted certification authorities, thereby providing the widest capability to recognize trusted content. Install the latest Microsoft root certificate patch here:- Root Update

What does Authenticode mean?
Authenticode is currently used to sign 32-bit .exe files (PE files), .cab files, .ocx files, and .class files. In particular, if you are distributing active content such as ActiveX controls for use with such Microsoft end user applications as Internet Explorer, Exchange, Outlook, or Outlook Express, you will want to sign code using Authenticode.

What is a Digital ID?
A Digital ID also known as a digital certificate is a form of electronic credentials for the Internet. A Digital ID is issued by a trusted third party to establish the identity of the ID holder. The third party who issues certificates is known as a Certification Authority (CA). Digital ID technology is based on the theory of public key cryptography. In public key cryptography systems, every entity has two complementary keys, a public key and private key, which function only when they are held together. The purpose of a Digital ID is to reliably link a public/private key pair with its owner. When a CA issues Digital IDs, it verifies that the owner is not claiming a false identity.

What about timestamping?
Since key pairs are based on mathematical relationships that can be cracked with a great deal of time and effort, it is a well-established security principle that digital certificates should expire. Your Digital ID will expire one year after it is issued. However, most software is intended to have a lifetime of longer than one year. To avoid having to resign software every time your certificate expires, a timestamping service is introduced. Now, when you sign code, a hash of your code will be sent to Certification authority to be timestamped. This means that you will not need to worry about resigning code when your Digital ID expires. Microsoft Authenticode allows you to timestamp your signed code so that signatures will not expire when your certificate does.

Time Stamping Server – Location and usage

In order to sign your code, you pass the code which you want to authenticate through a hashing algorithm and then use your private key to sign the hash, which results in a digital signature. You then build a signature block, which contains the digital signature and the code-signing certificate. Tools like Authenticode let you time stamp the signature block based on the current date and time that a time stamping service provider, such as Comodo, provides. Finally, you bind the time stamped signature block to the original software. Now you can publish the signed software on your Web site for download.

As part of this process you will need to know the URL of Comodo’s time stamping server, which is http://timestamp.comodoca.com/authenticode.

What will happen if an end user encounters an unsigned component distributed via the Internet?
If an end user of one of these applications encounters an unsigned component distributed via the Internet, the following will occur:

• If the application's security settings are set on "High," the client application will not permit the unsigned code to load.
• If the application's security settings are set on "Medium," the client application will display a warning like this screen:

What will happen if an end user encounters an signed component distributed via the Internet?

If a user encounters a signed applet or other code, the client application will display a screen like the following:

Who issue the digital certificates to applicants?
Certification Authorities are organizations that issue digital certificates to applicants whose identity they are willing to vouch for. Each certificate is linked to the certificate of the CA that signed it.

List the responsibilities of Certification Authority?
As the Internet's leading Certification Authority, Comodo has the following responsibilities:

• Publishing the criteria for granting, revoking, and managing certificates.
• Granting certificates to applicants who meet the published criteria.
• Managing certificates (for example, enrolling, renewing, and revoking them).
• Storing Comodo's root keys in an exceptionally secure manner.
• Verifying evidence submitted by applicants.
• Providing tools for enrollment.
• Accepting the liability associated with these responsibilities.
• Time stamping digital signatures.

Explain the six step process of Signing Code?

1. Make Sure that you are running the correct versions of all tools
2. Apply for a Code Signing ID for Authenticode from Comodo
3. Pick up your Digital ID
4. Prepare your Files to be Signed
5. Sign your Files
6. Test Your Signature

How do I ensure that both I and my customers have the latest Microsoft roots in my certificate store.
For Windows XP, everything is Automatic, meaning well over 200 Million customers will automatically have access to all the latest certificates. For older versions of the Windows operating system it is highly recommended that the latest root update is installed.Good security policy dictates that your root certificate store should have the most current root certificate references from all trusted certification authorities, thereby providing the widest capability to recognize trusted content. Install the latest Microsoft root certificate patch here:-
Root Update
Trusted Certificate Services
Comodo Code Signing CA

We want our signed files to be time stamped. Could please provide me with the URL of the time stamping server?
The Comodo timestamping server can be found at: http://timestamp.comodoca.com/authenticode