Symbian S60v3软件签名解析

核心提示：Signature Algorithm: sha1WithRSAEncryption开始的是versigin公司对上面所有信息的数字签名，使用的算法是SHA-1和RSA，Symbian S60v3软件签名解析(5)，这里有versigin的对应的RSA公钥，同样能验证这个数字签名的有效性，这个病毒就没有能力复制自己、传

Signature Algorithm: sha1WithRSAEncryption开始的是versigin公司对上面所有信息的数字签名，使用的算法是SHA-1和RSA。这里有versigin的对应的RSA公钥，同样能验证这个数字签名的有效性。

那个这个公钥在哪里呢?答案是在你的手机里。查看诺基亚手机的Tools -> Settings -> General -> Security -> Certificate management -> Authority certificates

可以看到所有VeriSign发布的公钥。同样可以看到Symbian的公钥信息。

三 为什么要签名要证书?防病毒!

S60v3rd和UIQ中一部分人软件需要证书签名后才能安装的，有些软件则不需要签名。

那些不需要的签名的软件有两种可能。第一软件的开发商已经获得Symbian认证，上面已有Symbian或软件开发商的正式签名，所以可以免签名，如来电过滤，这个没有IMEI 限制。第二种这个软件不需要使用系统特殊的资源(不需要申请能力)，这样的软件用20年开发证书签名后就能用，而且没有IMEI限制。

其他申请能力而没有Symbian的认证签名的软件都需要用开发证书签名后安装，而这些开发证书是有IMEI限制的。所有用开发证书签名的软件都有IMEI限制，只能在开发证书里包含的IMEI对应设备上才能安装。现在的PublisherID能签小于1000个IMEI，那个证书签的软件就能装在那些对应的IMEI设备上。所以所现在是几百个设备同一个证书，这个证书签的软件这几百个设备都能装。

PublisherID做的证书是17项能力。

有人问1000个IMEI一个号是不是没有以前安全了?其实你用证书给软件签名就是把权限给了程序。你是以开发商的身份使用软件的，所以安全问题 Symbian是不负责的。你要是把权限给了一个木马，他当然能偷你的东西、在后台拨打电话了。所以从安全方面来说两种证书是一样的。Publisher ID的能力多，你签给木马的话危害大点。但是我们一般是不可能傻到签个木马装装的，木马没有签名是没法进入系统的。

所以关于证书带来的安全方面的担忧没有必要，而且成为一个病毒最需要的三个能力Symbian没有放出来。只有程序通过严格的认证提交申请表才能用使用这些能力。

所以S603rd系统一共有20项能力。

早有人解释设计签名的原因并不是为了给机友没事找事，而是以前的1、2版病毒太多，才引入认证机制的。对付病毒的认证机制比杀毒更彻底，因为杀毒是基于特征码扫描的，需要浪费不小的系统资源，而认证机制防毒的原理就一条，只把重要的权利交给那些可以完全相信的软件。认证机制就像一道墙把不可信任的程序挡在墙外，而在墙外的程序要进入系统就需要证书这把钥匙。一般病毒软件是不会有认证的代码的。没有认证代码，这个病毒就没有能力复制自己、传播自己、窃取用户信息、隐蔽自己、保护自己，而作为一个合格的病毒连这些必要的能力都没有的话，那就失去了成为病毒的意义。