сертификаты подписи кода

Question

У меня есть несколько различных проектов, которые достигают уровня, на котором я буду покупать сертификаты для подписи кода для них.Насколько я понимаю, сертификат для подписи кода заключается в том, что он предназначен для установления доверительных отношений между моей базой пользователей и разработчиком (мной).Для этого имеет смысл купить один сертификат для подписи кода и подписать все мои проекты одним и тем же сертификатом.Однако мне также известно, что другой функцией сертификата для подписи кода является шифрование частей развертывания, чтобы гарантировать, что продукт не будет подделан до того, как пользователь установит его.Насколько я понимаю, чем чаще сертификат (или любой другой метод шифрования) используется для разных данных (в данном случае это мои несколько проектов), тем менее он становится безопасным (я немного обобщаю, я знаю).

Итак, мой вопрос:

Должен ли я получить один сертификат кода на развертывание или только один и подписать их все вместе с ним?

(я также понимаю, что это можетвопрос субъективный, так что если это так, возможно, мы можем просто предложить плюсы и минусы для двух вариантов.)

Answer 1

Краткий ответ: вы можете использовать один и тот же сертификат для всех ваших проектов.

Длинный ответ:

• в процессе подписания кода шифрование не выполняется.Цифровая подпись обеспечивает целостность (код не был подделан) и подлинность (вы - автор), но не конфиденциальность (все остается открытым текстом)
• Безопасность криптосистем открытого ключа основана на том факте, что онаочень сложно (вычислительно говоря) найти закрытый ключ из открытого ключа.Это достигается с помощью сложных математических задач, таких как факторизация больших чисел или дискретный логарифм.Но многочисленные подписи, сделанные одним и тем же ключом, не должны ослаблять этот ключ (например, есть сертификационные органы или органы с отметками времени, выполняющие тысячи подписей каждый день с тем же ключом).

Answer 2

Вы должны взвесить обе стороны:

Имея всего один сертификат для всех кодов / сценариев, он запоминается только одним паролем и с ним легче работать; однако, если он должен быть отозван (и по соображениям безопасности вы выполняете проверку отзыва), ни один код / ​​скрипт не будет запущен, пока замена не будет развернута повсеместно! (По одному на каждое развертывание - несколько «песочниц», так что одно из них отменяет работу других.)