怎樣驗證軟體是否可信？是否被篡改？

標籤：代碼數位簽章

認證除了可以用來驗證某個網站，還可以用來驗證某個檔案是否被篡改。軟體開發人員需要購買程式碼簽署認證給發布的軟體簽名，來驗證軟體代碼的來源與完整性。後面專門告訴大家如何驗證檔案的數位簽章。就拿 Windows 的例子來說吧。

比如，俺手頭有一個 Firefox 的安裝檔案（帶有數位簽章）。當俺查看該檔案的屬性，會看到如下的介面。眼神好的同學，會注意到到上面有個“數位簽章”的標籤頁。如果沒有出現這個標籤頁，就說明該檔案沒有附帶數位簽章。
 650) this.width=650;" src="http://www.evtrust.com/knowledge/images/sign-1.png" height="578" width="540" alt="sign-1.png" />

選擇該標籤頁，看到如下介面。

順便說一下，某些數位簽章中沒有包含“郵件地址”，那麼這一項會顯示“不可用”；同樣的，某些數位簽章沒有包含“時間戳記”，也會顯示“不可用”。不要緊張，這裡顯示的“不可用”跟數位簽章的有效性沒關係。

650) this.width=650;" src="http://www.evtrust.com/knowledge/images/sign-2.png" alt="sign-2.png" />

一般來說，簽名列表中，有且僅有一個簽名。選中它，點“詳細資料”按鈕。跳出如下介面：通常這個介面會顯示一行字：“該數位簽章正常”（圖中紅圈標出）。如果有這行字，就說明該檔案從出廠到你手裡，中途沒有被篡改過（是原裝滴、是純潔滴）。650) this.width=650;" src="http://www.evtrust.com/knowledge/images/sign-3.png" height="548" width="540" alt="sign-3.png" />

如果該檔案被篡改過了（比如，感染了病毒、被注入木馬），那麼對話方塊會出現一個警告提示“該數位簽章無效”（圖中紅圈標出）。介面如下：650) this.width=650;" src="http://www.evtrust.com/knowledge/images/sign-4.png" height="548" width="540" alt="sign-4.png" />

不論簽名是否正常，你都可以點“查看認證”按鈕。這時候，會跳出認證的對話方塊。如下：650) this.width=650;" src="http://www.evtrust.com/knowledge/images/sign-5.png" height="548" width="540" alt="sign-5.png" />650) this.width=650;" src="http://www.evtrust.com/knowledge/images/sign-6.png" height="548" width="540" alt="sign-6.png" />

從後一個介面，可以看到俺剛才說的認證信任鏈結。圖中的信任鏈結有3層：

第1層是根憑證（Thawte Premium Server CA）。

第2層是 Thawte 專門用來簽名的認證。

第3層是 Mozilla 自己的認證。 

目前大多數知名的公司（或組織機構），其發布的可執行檔（比如軟體安裝包、驅動程式、安全補丁），都帶有數位簽章。你可以自己去看一下。

建議大伙兒在安裝軟體之前，都先看看是否有數位簽章？如果有，就按照上述步驟驗證一把。一旦數位簽章是壞的，那可千萬別裝。

怎樣驗證軟體是否可信？是否被篡改？