Confusión de firma de código

Para decirle al usuario final que USTED es el propietario real de la aplicación, DEBE comprar un certificado de un tercero de confianza (una parte a la que Windows también confía). Estos terceros se denominan Autoridades de certificación (CA) . A continuación le indicamos cómo puede obtener un certificado de una CA (de acuerdo con MSDN) .

  

Cómo el usuario final sabrá de él, no de mí. O su no   trabajar de esta manera?

Ahora, una de las responsabilidades de una CA es verificar su identificación antes de emitirle un certificado. Por lo tanto, ningún "otro tipo" puede obtener un certificado válido con su identidad de una CA. Windows verifica su certificado a través de un proceso denominado Verificación de la cadena de confianza . Puede encontrar más detalles sobre el proceso aquí .

  

Por lo que he entendido, al crear un certificado propio, debe estar   ¿Agregado en algún tipo de tienda para que Windows pueda reconocerlo?

Creo que la tienda de la que estás hablando aquí es Tecnología de almacén de certificados de Microsoft , que se utiliza básicamente para almacenar todos sus certificados, para que pueda elegirlos mientras firma. Además, no tiene que preocuparse por la disponibilidad de su certificado en el usuario final. Dado que su certificado está firmado por la CA (CA confía en usted) y Microsoft confía en que la Autoridad de Certificación y el usuario final confían en Microsoft, el usuario no tendrá problemas para identificar que el código le pertenece.

El punto de la firma de código es demostrar que el programa proviene de una fuente particular, presumiblemente confiable. Normalmente, un certificado basado en CA garantiza que se haya realizado alguna verificación de identidad, por lo que tiene un grado de confianza bastante alto de que el código es de la persona que lo firmó.

Puede autofirmarse, lo que aún probará que fue liberado por el titular de la clave privada que corresponde a la clave pública con la que está firmada, sin embargo, no hay una verificación independiente de la identidad, por lo que es solo Útil para verificar que la misma persona produjo dos programas diferentes.

Alguien más podría hacer un certificado similar con los mismos detalles, pero no tendrían su clave privada y la huella digital del certificado no coincidiría. De todos modos, sus usuarios no deberían confiar en la información de identidad de un certificado autofirmado, solo deberían saber que el último programa que obtuvieron de usted coincide con el nuevo programa que obtuvieron de usted, por lo que si el primero fue realmente suyo, entonces es el segundo.

Sin comprometer su clave privada, que solo usted tiene, no hay forma de que el atacante haga coincidir la huella digital de su firma, por lo que no pueden realmente hacerse pasar por un usuario alerta.

Dicho esto, es posible que su usuario promedio no reconozca ese hecho y simplemente confíe en lo que proporciona el certificado, incluso si tiene una huella digital diferente. Es por esto que realmente vale la pena obtener un certificado de firma de código de una CA si desea hacer este tipo de cosas.

Puede obtener uno muy barato de algunas de las CA más baratas. Personalmente, obtuve la mía a través de StartSSL. Me costaron $ 60 para verificar mi identidad y después de eso puedo emitir tantos certificados SSL y certificados S / Mime como quiera en mi nombre durante un año, además de recibir un certificado de firma de código a mi nombre.