貌似comodo的数字签名验证会检验真伪？

显示全部楼层 · 发表于 2011-10-30 10:19:12

今天找到了一个有数字签名但是已经被破坏了的程序

然后添加数字签名，却没有添加成功，”文件似乎不是有效的可执行签名文件“

如果这个是一个病毒，那么他的假的数字签名应该就不能通过验证了吧，（有没有成功假冒出真的数字签名的呢？）

显示全部楼层 · 发表于 2011-10-30 10:31:31

一般有正確數字簽名，卻被報毒的，是廣告程序，這個要不要用就看個人了。

显示全部楼层 · 发表于 2011-10-30 10:35:38

a256886572008 发表于 2011-10-30 10:31
一般有正確數字簽名，卻被報毒的，是廣告程序，這個要不要用就看個人了。

那可不可以这样说，有正确数字签名的信任就行了？

显示全部楼层 · 发表于 2011-10-30 10:47:24

这个会被云扫描和信任的软件厂商列表给封杀的

显示全部楼层 · 发表于 2011-10-30 10:55:09

accordion 发表于 2011-10-30 10:35
那可不可以这样说，有正确数字签名的信任就行了？

一般來說是這樣的。

显示全部楼层 · 发表于 2011-10-30 22:59:52

本帖最后由 chncwk 于 2011-10-30 23:03 编辑

有些CA公司专门给恶意软件签发数字签名，数字签名是完整的只能意味着程序从厂家出来后没有被篡改过，但不能保证程序本身无不当行为。
目前比较有公信力的签名公司首先是VeriSign，其次就是Comodo了。
但QQ和CCTV也购买了VeriSign的签名，所以你还得自己从其他信息渠道分析这些程序可靠不可靠。
前段时间不是有个Google Mail 的签名被击破的新闻吗？后来微软好像发布了一个补丁，把这个根证书从Windows证书库里删除了。

显示全部楼层 · 发表于 2011-10-30 23:35:57

我只在3.14至4.1的范围内选择版本，反正沙盘即使再先进也不打算用了。

显示全部楼层 · 发表于 2011-10-31 00:52:05

chncwk 发表于 2011-10-30 22:59
有些CA公司专门给恶意软件签发数字签名，数字签名是完整的只能意味着程序从厂家出来后没有被篡改过，但不能 ...

当你需要用QQ和CCTV的时侯，就算他们没有买签名，你也只能照用。。。
而且我发现微软证书库里面受信任的证书机构里面只有comodo，没有verisign.

显示全部楼层 · 发表于 2011-10-31 10:51:34

楼上说得很对，数字签名只是证明软件是那家公司出品的，并不能保证它是安全的。

显示全部楼层 · 发表于 2011-10-31 12:43:29

chncwk 发表于 2011-10-30 22:59
有些CA公司专门给恶意软件签发数字签名，数字签名是完整的只能意味着程序从厂家出来后没有被篡改过，但不能 ...

这个应该有的

[讨论] 貌似comodo的数字签名验证会检验真伪？