Code Signing 101 | DigiCert

TEMAS DE SEGURIDAD

Firma de código: elementos básicos

La firma de código confirma, por un lado, la autoría del creador del software; por otro, demuestra que el código no se ha modificado ni manipulado después de firmarse. Ambos aspectos son esenciales para inspirar confianza en los clientes y distribuir el software de forma segura.

¿Por qué es importante la firma de código?

En el año 2012, según el Informe sobre las amenazas para la seguridad en Internet de DigiCert, 556 millones de adultos de todo el mundo fueron víctimas de alguna clase de delito informático. Si considera que el promedio de pérdidas por cada incidente relacionado con un delito de este tipo es de 197 $, no es de extrañar que los usuarios sean extremadamente cautos al descargar archivos ejecutables de Internet.

Teniendo esto en cuenta, merece la pena dedicar cualquier esfuerzo a ganarse su confianza: la distribución en línea significa poder distribuir actualizaciones de software más deprisa, ampliar la base de clientes potenciales y reducir costos de manera considerable al prescindir de los envíos por correo postal y no tener que fabricar embalajes. Resulta evidente la necesidad de aportar pruebas demostrables que, como autor del código, le ayuden a corroborar que es usted quien dice ser, que el código no se ha dañado y que no es malicioso. De hecho, numerosos desarrolladores de otros fabricantes y proveedores de redes móviles ahora optan por la firma de código para proteger a sus usuarios.

Introducción a la firma de código

¿Cómo funciona la firma de código?

El proceso de la firma de código es similar al de los certificados SSL/TLS, en el que se utiliza un par de claves criptográficas, una pública y una privada, para identificar y autenticar tanto a autores como códigos. La manera más adecuada y segura de obtener una clave privada es solicitar un certificado a una autoridad de certificación de confianza (CA), por ejemplo DigiCert, que le guiará en el proceso de autenticación. Ya que tenga el certificado, podrá generar la clave privada. Es importante la elección de la CA, pues determinará el ámbito de distribución del software. En DigiCert, proporcionamos certificados para una gran variedad de plataformas de escritorio y móviles, como Windows Phone y Android.

Después, con la clave privada proporcionada, debe firmar el archivo ejecutable o la biblioteca de software, la cual solo pueden desbloquearla claves públicas rastreables por la CA y que se instalan de forma predeterminada en la mayoría de los navegadores. Si el código se ha manipulado después de la firma, la clave pública no podrá verificar la autenticidad de la firma de clave privada y el navegador mostrará una advertencia a cualquier usuario que tenga la intención de descargarlo. Si el código se ha mantenido intacto, el archivo se distribuirá y se descargará sin ningún problema. Así de fácil.

Aumente la adopción de software y las ventas con la firma de código

¿Qué es la firma de código?

La firma de código consiste en una firma digital que se añade a software y a aplicaciones; su finalidad es verificar que el código incluido no se haya manipulado después de firmarlo.

Hoja de datos

Compatibilidad con SHA 256

La compatibilidad con el algoritmo hash seguro (Secure Hash Algorithm o SHA) 256 está disponible para DigiCert Code Signing Certificates.

Seguir leyendo

Motivos para utilizar la firma de código

Cinco razones para firmar el código con DigiCert Code Signing.

Seguir leyendo

Cómo funciona la firma de código

DigICert le ayuda a ofrecer sus aplicaciones y su código a más clientes y en más plataformas que cualquier otro proveedor. Cada vez son más los desarrolladores y fabricantes que confían en DigICert, la autoridad de certificación de confianza (CA) más reconocida en el mundo, que en cualquier otra autoridad de certificación.

Seguir leyendo