Preguntas con etiqueta 'code-signing'

preguntas con etiqueta
6
respuestas

¿Es suficiente un certificado autofirmado para probar la integridad de mi ejecutable?

Tengo un archivo EXE en Windows que tengo que distribuir. Se basa en tclkit, por lo que un adversario podría descomprimirlo, cambiar algunos scripts tcl y volver a empaquetar el archivo. Me gustaría saber si esto sucede alguna vez, para que s...
hecha 31.03.2012 - 19:15
1
respuesta

Certificado y abuso de claves

Hace varios años cometí un error al cargar la clave de certificado de OpenSSL (.pem y .pk8) en una publicación de blog. La clave se usó para firmar la aplicación apk de Android usando la herramienta SignApk.jar. Alguien lo tomó y usó la clave pa...
hecha 17.01.2018 - 16:37
1
respuesta

¿Es razonable que el software contenga algo que el usuario no pueda manipular?

Quiero crear una pieza de software que contenga cierta información, el programa funciona sin conexión y quiero asegurarme de que la información no pueda ser manipulada. El programa puede crear o alterar su información en cualquier momento. Pe...
hecha 16.10.2017 - 17:54
2
respuestas

Desarrollo seguro de aplicaciones Android [cerrado]

Estoy comenzando con el desarrollo de aplicaciones para Android y quiero asegurarme de que tomo las precauciones de seguridad adecuadas, ya que la mayoría de las aplicaciones manejarán datos confidenciales. ¿Qué precauciones de seguridad debe...
hecha 24.01.2016 - 19:28
3
respuestas

¿Mejorará la seguridad si coloco las firmas SHA1 y SHA256 dentro del binario codificado en Windows?

Mi aplicación apunta a plataformas que comienzan con Windows 7 de 32 bits. Muchos de ellos no están actualizados (es decir, pueden faltar muchas actualizaciones recomendadas de Microsoft). Dadas las restricciones, debo usar la firma SHA1 dent...
hecha 22.07.2015 - 18:02
1
respuesta

¿Las actualizaciones de Ubuntu están firmadas por una autoridad central?

Al actualizar Ubuntu con la configuración predeterminada, ¿las actualizaciones deben estar firmadas por varias personas o es una sola persona la que controla qué actualizaciones firmar? La razón por la que pregunto es que si una sola persona...
hecha 16.03.2016 - 15:25
1
respuesta

¿Se puede firmar una clave importada con una subclave usando gpg?

Con el fin de salvaguardar mi clave maestra, la guardo fuera de línea. Tengo una subclave gpg con el indicador SEA que tengo disponible en mi sistema. Cuando descargo el software, lo verifico utilizando el archivo asc provisto y la clave pública...
hecha 06.03.2017 - 02:40
1
respuesta

La validación de Signtool falla cuando la firma y la validación se realizan en diferentes máquinas

Estoy firmando un exe de una máquina usando un archivo cer. Luego, cuando valido el EXE usando el signtool.exe de la misma máquina, tiene éxito. Pero cuando intento validarlo utilizando el mismo .cer instalado en otra máquina, falla el siguiente...
hecha 28.06.2016 - 02:07
2
respuestas

Firma de código Java vs. sandboxing

Estoy tratando de entender la razón detrás del desarrollo de Java Applet en los últimos años. En los viejos tiempos, la mayoría de los applets no estaban firmados, y el código para estos se ejecutaba en una caja de arena donde, a menos que los e...
hecha 01.12.2015 - 21:43
2
respuestas

¿Qué hacer si alguna vez pierde una tarjeta inteligente?

Quiero usar una tarjeta inteligente OpenPGP para firmar lanzamientos, pero no estoy seguro de qué hacer si alguna vez pierdo la tarjeta o se rompe. Mi idea es generar la clave usando GnuPG en una computadora aislada, cifrarla y hacer una copi...
hecha 07.03.2014 - 22:23