Symbian S60v3软件签名解析
2010-07-04 15:53:00 来源:WEB开发网Signature Algorithm: sha1WithRSAEncryption开始的是versigin公司对上面所有信息的数字签名,使用的算法是SHA-1和RSA。这里有versigin的对应的RSA公钥,同样能验证这个数字签名的有效性。
那个这个公钥在哪里呢?答案是在你的手机里。查看诺基亚手机的Tools -> Settings -> General -> Security -> Certificate management -> Authority certificates
可以看到所有VeriSign发布的公钥。同样可以看到Symbian的公钥信息。
三 为什么要签名要证书?防病毒!
S60v3rd和UIQ中一部分人软件需要证书签名后才能安装的,有些软件则不需要签名。
那些不需要的签名的软件有两种可能。第一软件的开发商已经获得Symbian认证,上面已有Symbian或软件开发商的正式签名,所以可以免签名,如来电过滤,这个没有IMEI 限制。第二种这个软件不需要使用系统特殊的资源(不需要申请能力),这样的软件用20年开发证书签名后就能用,而且没有IMEI限制。
其他申请能力而没有Symbian的认证签名的软件都需要用开发证书签名后安装,而这些开发证书是有IMEI限制的。所有用开发证书签名的软件都有IMEI限制,只能在开发证书里包含的IMEI对应设备上才能安装。现在的PublisherID能签小于1000个IMEI,那个证书签的软件就能装在那些对应的IMEI设备上。所以所现在是几百个设备同一个证书,这个证书签的软件这几百个设备都能装。
PublisherID做的证书是17项能力。
有人问1000个IMEI一个号是不是没有以前安全了?其实你用证书给软件签名就是把权限给了程序。你是以开发商的身份使用软件的,所以安全问题 Symbian是不负责的。你要是把权限给了一个木马,他当然能偷你的东西、在后台拨打电话了。所以从安全方面来说两种证书是一样的。Publisher ID的能力多,你签给木马的话危害大点。但是我们一般是不可能傻到签个木马装装的,木马没有签名是没法进入系统的。
所以关于证书带来的安全方面的担忧没有必要,而且成为一个病毒最需要的三个能力Symbian没有放出来。只有程序通过严格的认证提交申请表才能用使用这些能力。
所以S603rd系统一共有20项能力。
早有人解释设计签名的原因并不是为了给机友没事找事,而是以前的1、2版病毒太多,才引入认证机制的。对付病毒的认证机制比杀毒更彻底,因为杀毒是基于特征码扫描的,需要浪费不小的系统资源,而认证机制防毒的原理就一条,只把重要的权利交给那些可以完全相信的软件。认证机制就像一道墙把不可信任的程序挡在墙外,而在墙外的程序要进入系统就需要证书这把钥匙。一般病毒软件是不会有认证的代码的。没有认证代码,这个病毒就没有能力复制自己、传播自己、窃取用户信息、隐蔽自己、保护自己,而作为一个合格的病毒连这些必要的能力都没有的话,那就失去了成为病毒的意义。
更多精彩
赞助商链接