Firmare il proprio software è il miglior modo per garantirne l’autenticità
La presenza del code signing è importante per due motivi: il primo è di garantire che il codice sorgente di un’applicazione non è stato manomesso dopo la firma, e il secondo è il garantire l’autore del software. È il metodo che si utilizza per distribuire il software in modo sicuro, e per acquisire fiducia dai clienti.
Garantire l’affidabilità di un codice innocuo all’utente finale, soprattutto in un era dove tutto comincia ad essere distribuito online e non solo tramite supporto fisico, è molto importante per garantire sicurezza a chi lo utilizza.
La firma digitale di un software è distribuita da un’autorità di certificazione, e consiste nell’utilizzo di una coppia di chiavi crittografiche usate per identificare e autenticare l’autore e il codice. La chiave privata è in possesso dell’autore per la crittografia dell’eseguibile, la chiave pubblica invece è preinstallata nei browser per permettere all’utente finale di riconoscere se il software è sicuro (cioè, non è stato alterato in un secondo momento da terzi) oppure no.
Se il software è stato manomesso dopo la firma dell’autore allora la chiave pubblica non sarà in grado di verificarne l’autenticità, e l’utente finale viene avvisato di non proseguire con l’esecuzione dell’applicativo per software contraffatto.