¿Qué es la firma de código y por qué es necesaria?
¿Cómo funciona una Code Signing Account?
¿Qué diferencia hay entre una ID de publicador y una ID de contenido?
¿Cuántas ID de publicador necesito para una cuenta de firma?
¿Cuántas ID de contenido o eventos de firma necesito?
¿Tengo que firmar todos los archivos del archivo cab o únicamente el archivo cab?
¿Qué tipo de cuenta de firma de código necesito?
¿Cuánto se tarda en firmar código con una cuenta de firma?
¿Por qué tengo que renovar mi ID de publicador/ID de administrador?
¿Hay alguna forma de crear una secuencia de comandos para el proceso de firma de código con una cuenta de firma?
¿Cuánto dura una firma digital?
¿Puedo acceder a mi cuenta de firma de código desde distintos equipos?
¿Cómo pueden saber los demás que mi firma digital es de confianza?
¿Qué ocurre si pierdo mi token USB o ID de publicador o si dudo de su seguridad?
¿Qué es la firma de código y por qué es necesaria?
La firma de código crea una “empaque” digital que muestra a los clientes la identidad de la empresa responsable del código y confirma que no ha sido modificada desde que se realizó la firma. En las ventas tradicionales de software, el comprador puede comprobar el origen de una aplicación y su integridad mirando el empaque. Ahora, cada vez más clientes descargan aplicaciones a sus teléfonos móviles, instalan complementos e interaccionan con complicadas aplicaciones basadas en la Web. Pero, si descargan código dañino o defectuoso, ponen en peligro su seguridad y la funcionalidad de las redes inalámbricas. VeriSign® Code Signing protege su marca y su propiedad intelectual al ofrecer una firma digital que permite la identificación de sus aplicaciones y dificulta que se falsifiquen o dañen.
Volver al principio
¿Cómo funciona una Code Signing Account?
Los certificados de código y contenido se basan en la criptografía de clave pública. Un desarrollador o publicador de software utiliza una clave privada para añadir una firma digital al código o contenido. Las plataformas y aplicaciones de software utilizan una clave pública para descifrar la firma durante la descarga y comparar el hash utilizado para firmar la aplicación con el hash de la aplicación descargada. El código firmado desde una fuente de confianza puede aceptarse automáticamente, de lo contrario aparecerá una advertencia de seguridad pidiendo al usuario que vea la información de la firma y decida si confiar o no en el código.
Con un certificado de firma de código, el desarrollador firma todo el código con la misma firma digital, identificando la fuente del código y si ha sido o no modificado desde su firma. Una cuenta de Code Signing Account utiliza un proceso de firma de dos fases para crear una única firma digital cada vez que se firma código, con lo que es fácil realizar un seguimiento de cada versión de código firmado con anterioridad y revocarlo. El desarrollador utiliza una ID de publicador para firmar código e iniciar sesión en su cuenta de firma de código. A continuación, el desarrollador carga su código en VeriSign a través de una cuenta VeriSign® Flexible Signing Account. VeriSign valida la firma del publicador, retira la firma digital del publicador y genera un nuevo par de claves, firma el contenido y lo envía de vuelta al publicador con la ID de contenido recién generada.
Volver al principio
¿Qué diferencia hay entre una ID de publicador y una ID de contenido?
Una ID de publicador es el certificado digital que recibe cuando solicita una cuenta de firma. Contiene información sobre su organización y se utiliza para firmar digitalmente su código o contenido antes de cargarlo en su cuenta. También se utiliza para la autenticación cuando inicia sesión en el portal de cuentas de firma. La ID de contenido es un certificado de firma de código único que crea VeriSign cuando se firma su contenido en la cuenta de firma. Es la única firma en la que confiará el dispositivo del usuario final a la hora de realizar sus descargas y ejecutarlas de forma segura. Para firmar código mediante una Signing account, deberá adquirir una ID de publicador y un conjunto de ID de contenido o "eventos de firma".
Volver al principio
¿Cuántas ID de publicador necesito para una cuenta de firma?
Cada cuenta de firma incluye una ID de publicador (también llamada ID de cuenta o certificado de administrador). Un administrador puede iniciar sesión en la Signing Account y adquirir ID de publicador adicionales para distintos grupos de desarrollo de la organización. Al usar una única signing account con múltiples ID de publicador, la organización puede ver un portal y realizar un seguimiento de todos los eventos de firma de código, y cada grupo tendrá una identidad única que podrá modificarse o revocarse para más seguridad.
Volver al principio
¿Cuántas ID de contenido o eventos de firma necesito?
Cada vez que se firma una aplicación o código, se consume una ID de contenido. Las ID de contenido se venden a través de la Signing Account en grupos de eventos de firma. Necesitará un evento de firma para cada aplicación que firme, incluyendo las distintas versiones. Si tiene una aplicación de Windows Mobile® consistente en un archivo cab con un archivo exe y un archivo dll, necesitará tres firmas para firmar su aplicación: una para el archivo exe, otra para el archivo dll y otra para el archivo cab, aunque sólo se utilizará un evento de firma.
Volver al principio
¿Tengo que firmar todos los archivos del archivo cab o únicamente el archivo cab?
Deberá firmar todos los archivos ejecutables que se incluyan en el archivo .cab. Una cuenta VeriSign® Flexible Signing Account firma automáticamente todos los archivos ejecutables incluidos cuando se cargue el archivo .cab para su firma.
Volver al principio
¿Qué tipo de Signing Account necesito?
Cada proveedor de red y plataforma de software tiene distintos requisitos y herramientas para la firma de código. Con la cuenta VeriSign® Flexible Signing Account, los desarrolladores pueden cargar aplicaciones para Microsoft® Mobile2Market Normal o Acceso con privilegios.
Volver al principio
¿Cuánto se tarda en firmar código con una cuenta de firma?
VeriSign firma automáticamente las aplicaciones aprobadas. La firma de código puede tardar unos minutos o varios días, dependiendo del tipo de servicios de firma que utilice y de la plataforma del dispositivo o los requisitos de red inalámbrica. En el caso de aplicaciones que accedan a las API seguras, puede que un proveedor de redes requiera la realización de comprobaciones. El desarrollador firma la aplicación, la envía a la sede de pruebas, que la carga en la Signing Account. VeriSign notifica al proveedor de redes que la aplicación está lista para su firma. Cuando el proveedor de redes aprueba la aplicación, VeriSign completa el proceso de firma. Los desarrolladores pueden realizar un seguimiento de su aplicación desde la Signing Account. Si desea más información sobre las pruebas y los requisitos de aprobación, póngase en contacto con su proveedor de redes directamente.
Volver al principio
¿Por qué tengo que renovar mi ID de publicador/ID de administrador?
Las ID de publicador y las ID de administrador caducan pasados 12 meses. VeriSign utiliza un proceso probado y robusto para autenticar y verificar organizaciones antes de emitir certificados de Clase 3 como los de Code Signing. El proceso anual de renovación asegura que la ID de publicador la está utilizando una organización legítima, y que el contacto está autorizado para realizar el desarrollo en nombre de esa organización. Este proceso es necesario para poder emitir Code Signing Certificates con ID de publicador para usted.
Volver al principio
¿Hay alguna forma de crear una secuencia de comandos para el proceso de firma de código con una Signing Account?
VeriSign ofrece una API de publicador para los clientes que tengan una cuenta VeriSign® Flexible Signing Account. Inicie sesión en su cuenta y haga clic en Centro de recursos y en Documentación de productos. Descargue el archivo zip: "Signing Portal Publisher API" si desea información y ejemplos sobre secuencias de comandos.
Volver al principio
¿Cuánto dura una firma digital?
Las cuentas de VeriSign Code Signing Account firman código con firmas digitales de 10 años. Aunque caduque la ID de publicador, la ID de contenido y la firma digital únicas conservan su validez.
Volver al principio
¿Puedo acceder a mi cuenta de Code Signing Account desde distintos equipos?
Siempre y cuando el equipo cumpla los requisitos mínimos de sistema, puede acceder a su Signing Account desde cualquier equipo utilizando un token USB que contenga su ID de publicador. Sin embargo, para adquirir y recuperar su ID de publicador deberá utilizar siempre el mismo equipo. Si tiene problemas con la recuperación, confirme que está utilizando el mismo equipo, navegador y perfil de inicio de sesión utilizados para la inscripción. Para mejorar la gestión y la seguridad, VeriSign recomienda a los desarrolladores adquirir ID de publicador adicionales en vez de compartir certificados.
Volver al principio
¿Cómo pueden saber los demás que mi firma digital es de confianza?
El mero hecho de firmar su código garantiza que éste no ha sido manipulado y que procede de su empresa, pero no verifica quién es su empresa. Una autoridad de certificación (CA) externa genera más confianza que un certificado firmado por la propia empresa, ya que el solicitante del certificado debió someterse a un proceso de investigación o autenticación. Cuando algunas aplicaciones y plataformas de software verifican una firma digital, acceden a un certificado “raíz” para determinar si deben confiar o no en la CA que emitió el certificado. Ya que los certificados raíz de VeriSign vienen preinstalados en la mayoría de dispositivos de los usuarios finales e incorporados en la mayoría de aplicaciones, las firmas digitales de VeriSign son casi siempre de confianza, lo que reduce los mensajes de advertencia y error.
Volver al principio
¿Qué ocurre si pierdo mi token USB o ID de publicador o si dudo de su seguridad?
Los tokens USB con ID de publicador y las contraseñas de token no pueden reemplazarse en caso de pérdida o robo para evitar que alguien los encuentre y firme código en su nombre. Si pierde o duda de la seguridad de su clave privada o bien cambia su información, debe revocar inmediatamente su ID de publicador y reemplazarla por un nuevo certificado digital.
Volver al principio
|
