Mode de fonctionnement de la signature de code

Un certificat de signature de code génère une signature numérique qui fournit l'authentification de la source du code et qui assure l'intégrité du code. De plus en plus souvent, les systèmes d'exploitation, les applications logicielles, les périphériques et les réseaux mobiles requièrent une signature numérique pour s'assurer que le code ne nuira pas aux services ni ne les interrompra.

Mode de fonctionnement des Code Signing Certificates

Avec un VeriSign® Code Signing Certificate, le développeur signe l'ensemble du code avec la même signature numérique à l'aide de la cryptographie de clé publique.

1. Un développeur ou un éditeur de logiciel utilise un "Code Signing Certificate" pour ajouter une signature numérique au code ou au contenu grâce à une unique clé privée.
2. Le contenu est envoyé sur un site Web ou un réseau mobile ou bien il est disponible au téléchargement.
3. Lorsqu'un utilisateur télécharge ou découvre le code, le logiciel ou l'application du système de l'utilisateur utilise une clé publique pour décrypter la signature.
4. En comparant le hachage utilisé pour signer l'application au hachage de l'application téléchargée, le système détermine s'il doit prévenir l'utilisateur final, ne pas autoriser le téléchargement ou bien autoriser le téléchargement sans interruption (en fonction des paramètres de sécurité du client, de la plate-forme et de l'application).

Les différentes plate-formes logicielles ont des critères et des outils différents concernant la signature de code. VeriSign propose des certificats de signature de code pour :

• Microsoft® Authenticode®
• Sun Java®
• Microsoft® Office et VBA
• Adobe® AIR®
• Macromedia Shockwave®
• Authentic IDs for BREW®

Mode de fonctionnement des Code Signing Accounts

Un VeriSign® Code Signing Account se sert de la cryptographie de clé publique au cours d'un processus de signature en deux étapes pour créer une signature numérique unique à chaque fois que du code est signé, facilitant le suivi et la gestion de chaque version de code sortie

1. Le développeur utilise un ID éditeur pour signer le code localement.
2. Le développeur se connecte au VeriSign Signing Account et envoie l'application.
3. VeriSign valide la signature de l'éditeur, puis retire la signature numérique de l'éditeur et génère une nouvelle paire de clés, il signe le contenu et le renvoie à l'éditeur avec le nouvel ID du contenu unique généré.
4. Le contenu est envoyé sur un site Web ou un réseau mobile ou bien il est disponible au téléchargement.
5. Lorsqu'un utilisateur télécharge ou découvre le code, le logiciel ou l'application du système de l'utilisateur utilise une clé publique pour décrypter la signature.

Des VeriSign Code Signing Accounts sont disponibles pour :

• Microsoft® Mobile2Market
• Symbian Signed™

Certificats racine : pourquoi votre AC a de l'importance

Lorsqu'un logiciel décrypte la signature numérique, il recherche un certificat racine, la source des informations relatives à l'identité. Si un certificat numérique est auto-signé, cela signifie que vous êtes propriétaire de votre propre certificat racine et que vous garantissez votre propre identité. C'est comme si vous utilisiez une carte d'identité que vous auriez réalisée vous-même . Dans la plupart des cas, votre certificat racine ne sera pas disponible auprès des logiciels et des périphériques tiers et un message d'avertissement apparaîtra.

Lorsque vous demandez un certificat numérique à une autorité de certification (AC), cette dernière authentifie votre identité et fournit un certificat lié à ce certificat racine. Si le logiciel ou le périphérique fait confiance au fournisseur de votre certificat racine (AC), il vous fait confiance.

VeriSign est la marque la plus fiable sur Internet (Tec-Ed Whitepaper, PDF, en anglais, Oct. 2007) qui fournit plus de plate-formes de développement que n'importe quel autre fournisseur de signature de code. VeriSign utilise un processus de validation et d'authentification solide et testé au cours du temps qui est reconnu dans le monde entier. Avant d'émettre un certificat numérique avec le nom complet de votre organisation et votre clé publique, VeriSign valide l'existence de l'organisation avec des sources tierces et votre autorité à demander un certificat au nom de l'organisation.