Tengo una línea de comandos para firmar un archivo ejecutable con el uso de signtool de Microsoft, y una forma de identificar mi certificado es con una huella digital sha1. El comando se ve como:
signtool sign [...] /sha1 <sha1_thumbprint> [...] file.exe
Mi pregunta es: ¿se considera que la huella digital es privada? ¿Puedo enviar la línea de comandos a un repositorio o es mejor evitar hacerlo?
No, la huella digital no se considera privada. Esto se debe a que la huella digital es el resultado de la función de hashing de una vía (SHA1 u otra).
Por definición, las funciones de hashing aceptan mensajes de longitud variable como entrada y producen una salida de longitud fija. La longitud de salida depende de la función de hashing real. Como resultado, es imposible recuperar el mensaje de entrada al saber solo su hash (huella digital). Por lo tanto, puede publicar el valor de la huella digital en público cuando sea necesario sin preocuparse de que alguien recupere el mensaje de entrada que produjo la huella digital especificada.
Lea otras preguntas en las etiquetas certificates