1. घर
  2. सवाल और जवाब
  3. स्नैक बनाम कोड हस्ताक्षर प्रमाणपत्र

स्नैक बनाम कोड हस्ताक्षर प्रमाणपत्र

2010-08-22 20 views
17

मेरे संगठन में हम मजबूत नाम असेंबली के साथ स्नैक फ़ाइलों का उपयोग करते हैं। हम खुद को झटका उत्पन्न करते हैं।स्नैक बनाम कोड हस्ताक्षर प्रमाणपत्र

इसके अतिरिक्त हम बाइनरी पर कोड हस्ताक्षर हस्ताक्षर का उपयोग करते हैं। हमें Verisign से पीएफएक्स मिलता है।

  • इन दो प्रक्रियाओं के बीच क्या अंतर है?
  • क्या यह कोई समस्या नहीं है कि स्नैक Verisign से भी प्राप्त नहीं किया गया है?

स्रोत

2010-08-22 Yaron Naveh

उत्तर

20

स्नैंक और पीएफएक्स दो अलग-अलग उद्देश्यों के लिए उपयोग किया जाता है। स्नैंक का उपयोग मजबूत नामकरण के लिए किया जाता है, जो एक असेंबली को विशिष्ट रूप से पहचानने के लिए एक महत्वपूर्ण जोड़ी का उपयोग करता है। पीएफएक्स कोड हस्ताक्षर के लिए है, जो एक समान प्रक्रिया है, लेकिन इसका उद्देश्य सार्वजनिक रूप से वितरित असेंबली के साथ दुर्भावनापूर्ण छेड़छाड़ को रोकने के लिए है। दोनों विधानसभाओं पर दोनों मजबूत नामों का उपयोग करके और इसका संकेत देते हैं।

जब तक आप निजी कुंजी सुरक्षित रखते हैं तब तक अपनी स्वयं की एसएनके फ़ाइल उत्पन्न करना ठीक है। Verisign से प्राप्त PFX फ़ाइल आपको किसी तृतीय पक्ष द्वारा सुरक्षित कुंजी का उपयोग करके असेंबली पर हस्ताक्षर करने की अनुमति देती है। यह सुरक्षा की एक अतिरिक्त परत है जो आपकी असेंबली के उपयोगकर्ताओं को यह बताती है कि इससे छेड़छाड़ नहीं हुई है।

स्रोत

2010-08-22 15:53:25

+1

तो मजबूत संदर्भ की अनुमति देने के लिए, स्नैंक सिर्फ एक प्रमुख सार्वजनिक कुंजी जोड़ी को असेंबली में बांधता है, चाहे वह प्रमुख मालिक पहचान हो? इसका मतलब यह है कि यदि मैं (उपयोगकर्ता) exe पर भरोसा करता हूं तो मैं सभी संदर्भों पर भरोसा कर सकता हूं। और मैं exe पर भरोसा कैसे करूं, क्या यह कोड हस्ताक्षर जगह पर आता है? इस मामले में मुझे केवल एक्सई पर हस्ताक्षर करना चाहिए, न कि अन्य असेंबली क्योंकि मुझे पता है कि उन्हें छेड़छाड़ नहीं हुई है। क्या ये सही है? –

+3

मौलिक अंतर यह है कि एक व्यक्ति द्वारा एक एसएनके हस्ताक्षर किया जाता है और जीएसी में एक असेंबली जोड़ने का समर्थन करता है। एसएसएल के साथ, एक विश्वसनीय, बंधुआ तीसरे पक्ष द्वारा कोड हस्ताक्षर मध्यस्थता में है। निजी कुंजी आयोजित की जाती है और वेरिज़िन द्वारा प्रकाशित सार्वजनिक कुंजी (आपके मामले में।) किसी भी मामले में, असेंबली निजी कुंजी के साथ "हस्ताक्षरित" होती है और सार्वजनिक कुंजी के साथ मान्य होती है। –

+7

मैं कहूंगा कि स्नैक के साथ हस्ताक्षर करने से कोई छेड़छाड़ नहीं होती है (हैश चेक के आधार पर), जबकि पीएफएक्स के साथ हस्ताक्षर करने से आश्वासन मिलता है कि कोड वास्तव में किसी दिए गए स्रोत से आया है (प्रमाण पत्र खरीदे जाने पर Verisign द्वारा सत्यापित किया गया है)। इसके अलावा (मैं यहां गलत हो सकता हूं), मुझे लगता है कि पीएफएक्स के साथ हस्ताक्षर करना स्नैक के साथ हस्ताक्षर करता है। –

संबंधित मुद्दे

 संबंधित मुद्दे