Pourquoi devrions-nous mettre un timestamp quand nous faisons un CodeSigning?
https://stackoverflow.com/questions/4417410
-
08-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Si je mets un horodatage avec la signature, ce qui se passe?
Que faire si je ne contiendraient pas?
est-il indispensable? Pourquoi est-il recommandé?
La solution
Horodatage est utilisé pour spécifier le temps lorsque la signature numérique est faite. Ceci est nécessaire pour valider correctement la signature.
Si l'horodatage de la signature est présente, l'application qui valide (vérifie) la signature, vérifiera si les certificats impliqués dans la validation de signature étaient valides au moment de la signature. S'il n'y a pas horodatage de la signature, la validité du certificat est vérifiée pour le moment de la validation de la signature, ce qui est toujours acceptable.
Example:
Certificate is valid from: 1st of January, 2008
Certificate is valid to: 31st of December, 2010
Signature is made on: 4th of July, 2009
Signature is verified on: 30th of April, 2012
Avec horodatage: la signature est ok (signature a été faite pendant la période de validité du certificat) Sans horodatage: la signature est non valide (certificat a expiré le moment de la vérification de signature)
.Horodatage doit être utilisé si la signature est censé être utilisé (à l'authenticité preuve de l'auteur du document ou du donneur de données) à long terme, à savoir plus d'un ou plusieurs jours.
Horodatage n'est pas nécessaire lorsque, par exemple, envoyer une brève note signée au collègue et cette note devrait être lu et disposé du même jour, comme il a été écrit. Bien sûr, timestamping ne peut pas être utilisé quand il est pas pris en charge par les technologies de signature ou lorsque l'autorité horodater n'est pas disponible.
Par contre, timestamping est un must lorsque vous créez des documents signés pour une large diffusion ou pour le stockage à long terme et à des fins d'archivage. Horodatage est également utilisé lors de la signature des modules exécutables d'applications logicielles.
Mise à jour: l'horodatage est également signé avec un certificat. Cette signature utilise également des règles validate régulières, ce qui signifie que le certificat utilisé pour signer l'horodatage doit être valide au moment de la validation de la signature. Dans l'exemple ci-dessus si le certificat a expiré timestamping le 1er Avril 2012, puis l'horodatage sera signalé comme non valide et ne sera pas prise en compte lors de la validation de la signature.
Autres conseils
Si le certificat de signature expire et il n'y a pas timestamp, il n'y a aucun moyen de vérifier que la signature a été faite à un moment où le certificat était valide, le code PRECEDEMMENT signé peut simplement « travail d'arrêt ».
Horodatage implique un tiers (généralement votre CA) attestant que vous avez fait la signature à un moment donné. Indépendamment du moment où votre certificat expire, quelqu'un réception du code signé peut alors vérifier que votre certificat était valide au moment où vous signiez .
