这种保护签名证书的方法是否安全?

【问题标题】:Is this method of protecting a signing certificate secure?这种保护签名证书的方法是否安全?
【发布时间】:2016-10-30 21:56:09
【问题描述】:

将“signtool”封装在 EXE 程序中是否安全?该程序依赖附近的受密码保护的 PFX 文件,并且知道其密码以访问其私钥。证书永远不会在进行签名的机器的存储中。

我的想法是,即使 PFX 文件本身是免费分发的,未经授权的使用(除了使用此 EXE 之外)签署某些东西也会失败,因为没有人知道它的密码。

我意识到未经授权使用 EXE 是无法避免的,但它还会记录其每次使用,因此至少我们会有审计线索。

我正在尝试改进对先前证书所做的工作,即大规模分发 PFX 文件及其密码......呃。

谢谢。

【问题讨论】:

    标签: code-signing digital-certificate pfx


    【解决方案1】:

    嗯,我没有收到任何答案,但我把它付诸实践,它似乎运作良好。因为代码需要知道 PFX 密码,所以我乱序构造它,而不是直接将字符串放入代码中(以防止逆向工程),然后在将其存储到源代码控制之前剪掉这些部分。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2012-07-02
      • 1970-01-01
      • 2021-03-05
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2012-03-30
      • 2013-04-07
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode