authenticode

Подпись кода - это процесс цифровой подписи исполняемых файлов и скриптов для подтверждения авторства программного обеспечения и гарантии того, что код не был изменен или поврежден с момента подписи. В этом процессе используется криптографический хэш для проверки подлинности и целостности. Подписание кода было изобретено в 1995 году Майклом Дойлом как часть браузерного плагина Eolas WebWish, который позволял использовать криптографию с открытым ключом для подписи загружаемого кода веб-приложений с использованием секретного ключа. После этого интерпретатор кода плагина мог использовать соответствующий открытый ключ для аутентификации кода перед предоставлением доступа к API интерпретатора кода. Подписание кода может предоставить несколько ценных функций. Самое распространенное использование подписи кода - обеспечение безопасности при развертывании; в некоторых языках программирования она также может использоваться для предотвращения конфликтов имен. Практически каждая реализация подписи кода предоставляет механизм цифровой подписи для проверки подлинности автора или системы сборки, а также контрольную сумму для проверки, что объект не был изменен. Ее также можно использовать для предоставления информации о версии объекта или для хранения других метаданных о нем. Эффективность подписи кода как механизма аутентификации программного обеспечения зависит от безопасности используемых ключей подписи. Как и в случае других технологий инфраструктуры открытых ключей (PKI), целостность системы зависит от того, насколько издатели обеспечивают безопасность своих закрытых ключей от несанкционированного доступа. Ключи, хранящиеся в программном обеспечении на общих компьютерах, могут быть скомпрометированы. Поэтому более безопасным и рекомендуемым способом является хранение ключей в безопасных криптографических устройствах, известных как модули аппаратной безопасности или HSM (Hardware Security Modules).