вторник, 7 июня 2011 г.

FlylinkDC++ цифровая подпись

В FlylinkDC++ r500 была реализована возможность автоматического обновления программы и компонентов. Эта возможность позволяет самой программе автоматически получать обновления и устанавливать их, практически с минимальными действиями со стороны пользователя.

Данный процесс автоматизации вносит определенный риск (возможность подмены оригинальных обновлений, адресов серверов обновлений и т.д.). Часть этой проблемы была решена за счет подписи самого файла обновления 1024-битным RSA ключом. Публичная часть ключа находится в самом FlylinkDC++ r500, а приватная часть является собственностью разработчиков проекта и недоступна для общего пользования по понятиям безопасности.

Следующим шагом защиты должно стать введение цифровой подписи самого приложения. На данном этапе при обновлении FlyUpdate’ом мы видим следующую картину:

FlyUpdateUnknown

Publisher в нашем случае – это производитель программы, подлинность которого  и самого приложения устанавливается общеизвестным сертификационным центром. Для этого необходимо получить сертификат, но у нашей команды отсутствует опыт общения с сертификационными центрами, начиная от выбора (а исходя из того, что проект у нас не коммерческий и выбор должен ограничиваться нашими скромными финансовыми возможностями (хотя мы не против спонсорства со стороны пользователей :) ), и заканчивая перечнем необходимой документации, которую необходимо предоставить сертификационному центу для получения сертификата.

Если Вы сталкивались с этим и можете поделится информацией – мы будем очень признательны.

c уважением, команда разработчиков FlylinkDC++

Отправить комментарий