Tengo la intención de comprar mi primera firma digital para firmar archivos EXE. En particular, Certum Standard Code Signing me llamó la atención.
Se basa en SHA-2 con hasta 4096 RSA.
¿Vale la pena mi dinero si necesito evitar que se agriete la aplicación? Bueno, estoy seguro de que todavía se podría romper, pero espero que sea más difícil para algunos.
La firma de código es solo eso: agrega una firma al archivo con su clave privada. Esta firma muestra a quienquiera que descargue su archivo que la persona que posee la clave privada firmó su forma actual. Si una aplicación es popular, siempre existe el peligro de que alguien modifique el archivo para que sea malévolo. Si el archivo está firmado digitalmente, el usuario ahora sabe que no se modificó después de que las personas con acceso a la clave privada lo firmaron.
Esto es todo lo que hace. No agrega ninguna otra forma de seguridad ni evita que se agriete su aplicación.
Un cracker podría eliminar la firma de tu código.
Luego pueden reemplazarlo con el suyo propio, que el usuario deberá aceptar en lugar del suyo, o dejarlo sin una firma, lo que hará que el usuario lo instale sin una firma.
Hay ecosistemas de software que requieren una firma de una autoridad confiable antes de ejecutar un programa (como la mayoría de los sistemas operativos de teléfonos inteligentes), pero las aplicaciones de escritorio de Windows no son ninguna de ellas.
Lea otras preguntas en las etiquetas code-signing