Sitios en el mundo
Un certificado de firma de código genera una firma digital que ofrece autenticación de la fuente del código y garantiza la integridad del código. Cada vez más sistemas operativos, aplicaciones de software, dispositivos y redes inalámbricas necesitan una firma digital que asegure que el código no dañará ni interrumpirá los servicios.
Funcionamiento de los certificados de Code Signing Certificates
Con un certificado VeriSign® Code Signing Certificate, el desarrollador firma todo el código con la misma firma digital mediante criptografía de clave pública.
- Un desarrollador o publicador de software utiliza un certificado de firma de código para añadir una firma digital a código o contenido mediante una clave privada única.
- El contenido se carga en un sitio Web o red inalámbrica, o se pone a disposición para su descarga de alguna otra forma.
- Cuando un usuario descarga o se encuentra con el código, el software o la aplicación del sistema del usuario utiliza una clave pública para descifrar la firma.
- Al comparar el hash utilizado para firmar la aplicación con el hash de la aplicación descargada, el sistema determina si debe alertar o no al usuario final, impedir la descarga o permitir la descarga sin ninguna interrupción (dependiendo de la plataforma, la aplicación y los ajustes de seguridad del cliente).
Las diferentes plataformas de software tienen distintos requisitos y herramientas para firmar código. VeriSign ofrece Code Signing Certificate para:
- Microsoft® Authenticode®
- Sun Java®
- Microsoft® Office and VBA
- Adobe® AIR®
- Macromedia® Shockwave®
- Authentic IDs for BREW®
Funcionamiento de las cuentas de firma de código
VeriSign Code Signing Acccounts utiliza la criptografía de clave pública en un proceso de firma de dos fases para crear una firma digital única cada vez que se firma código, de forma que es más fácil realizar un seguimiento y gestión de cada versión de código publicado.
- El desarrollador utiliza una ID de publicador para firmar código de forma local.
- El desarrollador inicia sesión en la cuenta de Signing de VeriSign y carga la aplicación.
- VeriSign valida la firma del publicador, retira la firma digital del publicador y genera un nuevo par de claves, firma el contenido y lo envía de vuelta al publicador con la ID de contenido recién generada.
- El contenido se carga en un sitio Web o red inalámbrica, o se pone a disposición para su descarga de alguna otra forma.
- Cuando un usuario descarga o se encuentra con el código, el software o la aplicación del sistema del usuario utiliza una clave pública para descifrar la firma.
VeriSign Code Signing Acccounts están disponibles para:
Certificados raíz: La importancia de su CA
Cuando el software descifra la firma digital, busca un certificado "raíz", la fuente de la información sobre identidad. Los certificados digitales firmados por su propia empresa indican que posee su propio certificado raíz y acreditan su propia identidad, de una forma similar a si utilizara una identificación con fotografía casera. En la mayoría de los casos, su certificado raíz no estará disponible para software y dispositivos de terceros, por lo que aparecerá un mensaje de advertencia.
Cuando se suscribe a un certificado digital de una autoridad de certificación (CA), la CA autentica su identidad y ofrece un certificado que está unido a su certificado raíz. Si el software o el dispositivo confían en el proveedor de su certificado raíz (CA), también confiarán en su empresa.
VeriSign es la marca de seguridad de mayor confianza en Internet (documento técnico de Tec-Ed, PDF (en ingles), octubre de 2007) y da asistencia a más plataformas de desarrollo que ningún otro proveedor de firma de código. VeriSign utiliza un potente proceso de autenticación y validación que a lo largo del tiempo ha demostrado su fiabilidad y que es reconocido en todo el mundo. Antes de emitir un certificado digital con el nombre completo de su organización y su clave pública, VeriSign valida la existencia de la organización mediante fuentes externas, así como su autoridad para solicitar un certificado en nombre de su organización.
|
