FAQ - Code Signing Account - Code Signing de VeriSign S.A.

Questions :

En quoi consiste la signature de code et pourquoi en ai-je besoin ?
Quel est le mode de fonctionnement d'un Code Signing Account ?
Quelle est la différence entre un ID éditeur et un ID du contenu ?
Combien d'ID éditeur sont nécessaires à un compte de signature ?
De combien d'ID du contenu ou d'événements de signature ai-je besoin ?
Dois-je signer tous les fichiers du fichier CAB ?
De quel type de Signing Account ai-je besoin ?
Combien de temps cela prend-il de signer un code à l'aide d'un compte de signature ?
Pourquoi dois-je renouveler mon ID éditeur/administrateur ?
Existe-t-il un moyen de générer un script pour le processus de signature de code avec un compte de signature ?
Quelle est la durée de vie d'une signature numérique ?
Puis-je avoir accès à mon Code Signing Account sur différents ordinateurs ?
Comment un utilisateur sait-il qu'il peut faire confiance en ma signature numérique ?
Que se passe-t-il si je perds mon jeton USB ou mon ID éditeur ou s'ils sont compromis ?

Réponses :

En quoi consiste la signature de code et pourquoi en ai-je besoin ?
La signature de code crée un « emballage » numérique qui montre aux clients l'identité de l'entreprise responsable du code et qui confirme qu'il n'a pas été modifié depuis l'application de la signature. Dans le commerce de logiciels traditionnels, un acheteur peut confirmer la source de l'application et son intégrité en regardant son emballage. De plus en plus, les clients téléchargent sur leur téléphone portable des applications en ligne, installent des plug-ins et des modules complémentaires, et interagissent avec des applications en ligne sophistiquées. Ils risquent de compromettre leur sécurité et la fonctionnalité des réseaux mobiles s'ils téléchargent du code défectueux ou malveillant. VeriSign® Code Signing protège votre marque et votre propriété intellectuelle en rendant vos applications identifiables et plus difficiles à falsifier ou à endommager grâce à une signature numérique.

Retour en haut de page

Quel est le mode de fonctionnement d'un Code Signing Account ?
Les certificats de signature de code et de contenu s'appuient sur la cryptographie des clés publiques. Un développeur ou un éditeur de logiciels utilise une clé privée pour ajouter une signature numérique à du code ou à du contenu. Les plate-formes et les applications logicielles utilisent une clé publique pour décrypter la signature pendant le téléchargement. Elles comparent le hachage utilisé pour signer l'application au hachage de l'application téléchargée. Le code signé d'une source de confiance peut être accepté automatiquement ou bien un avertissement de sécurité peut demander à l'utilisateur final d'afficher les informations relatives à la signature et décider de faire confiance ou non au code.

Avec un certificat de signature de code, le développeur signe l'ensemble du code avec la même signature numérique, en identifiant la source du code et en reconnaissant que le code n'a pas été falsifié depuis la signature. Un Code Signing Account fait appel à un processus de signature en deux étapes pour créer une signature numérique unique à chaque fois que du code est signé, facilitant le suivi et la gestion de chaque version de code sortie. Le développeur utilise un ID éditeur pour signer du code et se connecter à son Code Signing Account. Le développeur envoie ensuite son code sur VeriSign via un VeriSign® Flexible Signing Account ou VeriSign® Authenticated Content Signing (ACS) for Symbian™. VeriSign valide la signature de l'éditeur, puis retire la signature numérique de l'éditeur et génère une nouvelle paire de clés, il signe le contenu et le renvoie à l'éditeur avec le nouvel ID du contenu unique généré.

Retour en haut

Quelle est la différence entre un ID éditeur et un ID du contenu ?
Un ID éditeur est le certificat numérique que vous recevez lorsque vous demandez un compte de signature. Il contient des informations sur votre organisation et sert à signer numériquement votre code ou votre contenu avant de l'envoyer sur votre compte. Il permet également l'authentification lors de votre connexion au portail de compte de signature. L'ID du contenu est le seul certificat de signature de code créé par VeriSign quand votre contenu est signé dans le compte de signature. Il s'agit de l'unique signature à laquelle se fiera le périphérique de l'utilisateur final pour télécharger et exécuter vos applications en toute sécurité. Pour signer du code à l'aide d'un Signing Account, vous devez acheter un ID éditeur et un paquet d'ID du contenu ou d'« événements de signature ».

Retour en haut

Combien d'ID éditeur sont nécessaires à un compte de signature ?
Tous les comptes de signature sont fournis avec un ID éditeur (également appelé ID compte ou certificat administrateur). Un administrateur peut se connecter au Signing Account et acheter des ID éditeurs supplémentaires destinés à différents groupes de développement au sein de son entreprise. En utilisant un seul signing account avec plusieurs ID éditeur, l'organisation dispose d'un portail pour afficher et suivre l'ensemble de ses signatures de code, et chaque groupe possède une identité unique pouvant être révoquée ou modifiée pour une meilleure sécurité.

Retour en haut

De combien d'ID du contenu ou d'événements de signature ai-je besoin ?
Un ID du contenu est consommée à chaque fois qu'une application ou du code est signé. Les ID du contenu se vendent par paquet d'événements de signature dans le Signing Account. Vous aurez besoin d'un événement de signature pour chaque application signée, avec différentes versions. Par exemple, si vous avez une application Windows Mobile® qui se compose d'un fichier .cab contenant 1 fichier .exe et 1 fichier .dll, la signature de votre application compte 3 signatures : 1 pour le fichier .dll, 1 pour le fichier .exe et 1 pour le fichier .cab, mais seul un événement de signature est consommé.

Retour en haut

Dois-je signer tous les fichiers du fichier CAB ?
Pour les applications Windows Mobile®, tous les exécutables du fichier .cab doivent être signés. Le VeriSign® Flexible Signing Account signe automatiquement tous les exécutables contenus lorsque le fichier .cab est signé.

Retour en haut

De quel type de Signing Account ai-je besoin ?
Les différents fournisseurs de réseaux et plates-formes logicielles ont des critères et des outils différents concernant la signature de code. Avec le VeriSign® Flexible Signing Account, les développeurs peuvent envoyer des applications pour Microsoft® Mobile2Market à accès normal ou privilégié. Pour les développeurs sur Symbian, VeriSign® ACS for Symbian™ est disponible pour la Symbian Certified Signed.

Retour en haut

Combien de temps cela prend-il de signer un code à l'aide d'un Signing Account ?
VeriSign signe automatiquement les applications approuvées. La signature de code peut prendre quelques minutes ou plusieurs jours, en fonction du type de services de signatures que vous utilisez et les exigences de la plate-forme du périphérique ou du réseau mobile. Pour les applications qui ont accès à des API sécurisés, il se peut qu'un fournisseur de réseau ait besoin d'effectuer des tests. Le développeur signe l'application, l'envoie à la maison de test, qui l'envoie ensuite sur le Signing Account. VeriSign avertit le fournisseur de réseau que l'application est prête à être signée. Après approbation de l'application par le fournisseur de réseau, VeriSign termine le processus de signature. Les développeurs peuvent suivre l'état de leur application dans le Signing Account. Pour obtenir plus d'informations sur les conditions de test et d'approbation, veuillez contacter directement votre fournisseur de réseau.

Retour en haut

Pourquoi dois-je renouveler mon ID éditeur/administrateur ?
Les ID éditeur et administrateur expirent après 12 mois. VeriSign utilise un solide processus éprouvé pour authentifier et vérifier les entreprises avant d'émettre des certificats de classe 3 comme le Code Signing. Le processus de renouvellement annuel garantit que l'ID éditeur est bien utilisée par une organisation légitime et que le contact est autorisé à développer pour cette dernière. Ce processus est nécessaire avant d'émettre vos Code Signing Certificates avec des ID éditeurs.

Retour en haut

Existe-t-il un moyen de générer un script pour le processus de signature de code avec un Signing Account ?
VeriSign offre un API éditeur aux clients ayant un VeriSign® Flexible Signing Account. Connectez-vous à votre compte et cliquez sur Centre de ressources puis sur Documentation produit. Téléchargez le fichier compressé : « API éditeur de portail de signature » pour obtenir des informations et des exemples de scripts.

Retour en haut

Quelle est la durée de vie d'une signature numérique ?
Les VeriSign Code Signing Accounts signent du code avec des signatures numériques durant 10 ans. Même si l'ID éditeur expire, l'ID du contenu unique et la signature numérique conservent leur validité.

Retour en haut

Puis-je avoir accès à mon Code Signing Account sur différents ordinateurs ?
Vous pouvez avoir accès à votre Signing Account sur n'importe quel ordinateur utilisant une clé USB contenant votre ID éditeur du moment que ce dernier répond aux exigences systèmes minimales. Cependant, vous devez acheter et récupérer votre ID éditeur à partir du même ordinateur. Si vous rencontrez des problèmes lors de la récupération, confirmez que vous utilisez bien les mêmes ordinateur, navigateur et profil de connexion qu'au moment de la demande. Pour des raisons de sécurité et une meilleure gestion, VeriSign recommande aux développeurs d'acheter des ID éditeurs supplémentaires plutôt que de partager des certificats.

Retour en haut

Comment un utilisateur sait-il qu'il peut faire confiance en ma signature numérique ?
Tout simplement, la signature de votre code garantit que le code n'est pas falsifié et que c'est vous qui l'envoyez, mais ce procédé ne vérifie pas qui vous êtes. Une AC tierce est plus fiable qu'un certificat auto-signé car l'entité ayant demandé le certificat a dû passer un processus d'approbation ou d'authentification. Quand des plate-formes et des applications logicielles vérifient une signature numérique, elles ont accès à un certificat « racine » pour déterminer si elles peuvent faire confiance aux AC qui ont délivré le certificat. Parce que les certificats racine de VeriSign sont préinstallés sur la plupart des périphériques et intégrés à la majorité des applications, les signatures numériques de VeriSign sont presque toujours fiables, réduisant la quantité d'avertissements et de messages d'erreur.

Retour en haut

Que se passe-t-il si je perds mon jeton USB ou mon ID éditeur ou s'ils sont compromis ?
Un jeton USB avec un ID éditeur ou un mot de passe de jeton ne peuvent pas être remplacés en cas de perte ou de vol au risque que quelqu'un d'autre s'en serve pour signer en votre nom. Si votre clé privée est perdue ou compromise, ou encore si les informations concernant votre société changent, vous devez immédiatement révoquer votre ID éditeur et la remplacer par un nouveau certificat numérique.

Retour en haut

Pour en savoir plus

Document technique : Pour augmenter les téléchargements, instaurez d'abord la confiance
Document technique : Sécurisation du transfert de code grâce à la signature : aperçu technique
Fiche technique: VeriSign® Code Signing Certificates (PDF)
Fiche technique : VeriSign® Flexible Signing Account : Code Signing pour plate-formes sans fil (PDF)
Tous les outils VeriSign Code Signing