CERTUM PCC Dowiedz się, do czego służą certyfikaty do podpisywania kodu (Code Signing Certificates)! www.certum.pl Cechy certyfikatów do podpisywania kodu Dzięki nim developerzy mogą podpisywać elektronicznie swoje oprogramowanie i sprawić, że będzie ono wiarygodne w oczach użytkowników. Odbiorcy, uruchamiając program w danym systemie operacyjnym, zobaczą przyjazne komunikaty informujące o rozpoznaniu tego oprogramowania. Informacje Certyfikaty do podpisywania kodu Nazwa Microsoft Authenticode Zastosowanie Jak to działa? Zastosowanie Wybierz certyfikat dla siebie! Certyfikat dla Microsoft Authenticode Jeśli chcesz, aby programy, które tworzysz dla systemów operacyjnych MS Windows były wiarygodne dla użytkowników, to podpisywanie kodu dzięki Certyfikatowi dla Microsoft Authenticode stanie się bardzo pomocne w Twojej pracy. Odbiorcy otrzymają – uruchamiając daną aplikację – przyjazne komunikaty o rozpoznanym oprogramowaniu. Będą mieć pewność, że aplikacje, których używają, są autentyczne, a certyfikaty, za pomocą których zostały podpisane - zgodne z systemami operacyjnymi MS Windows. Dostaną informację o tym, że program pochodzi ze znanego, wiarygodnego źródła - certyfikat potwierdza tożsamość twórcy aplikacji, zawiera imię i nazwisko jej autora lub dane firmy, która go stworzyła. Certyfikat jest zgodny z technologią Microsoft Authenticode opracowaną przez firmę Microsoft. Zastosowanie Podpisywanie: • • • • • rozszerzeń do Firefoxa i Netscape’a programów UNIX/Linux makr VBA aplikacji Apple (MacOS X) Adobe AIR Gwarancja finansowa Podpisanie kodu dzięki certyfikatowi Java Code Signing sprawi, że użytkownicy zaufają programom, które tworzysz dla środowiska Java. Odbiorcy, uruchamiając aplikację, zostaną powiadomieni o tym, że pochodzi ona od znanego wydawcy. Przyjazny komunikat, jaki się pojawi, będzie zawierał dane twórcy oprogramowania. Certyfikat jest zgodny i rozpoznawany jako zaufany w środowisku Java. Podpisanie, za pomocą certyfikatu Software Publisher, kodu oprogramowania, które opracowałeś, pozwoli użytkownikowi na przyjazne korzystanie z aplikacji. Odbiorca programu, dzięki danym o wydawcy aplikacji zawartym w certyfikacie (imię i nazwisko twórcy aplikacji, informacje o firmie) ma pewność, że używa oprogramowania, które pochodzi z wiarygodnego źródła. Z powodzeniem skorzystają z certyfikatu ci, którzy będą chcieli podpisać kod programu dla większości dostępnych systemów operacyjnych. Zastosowanie 20 000 PLN 20 000 PLN 1 rok 1 rok 24h 24h 24h Poziom weryfikacji podmiotu • potwierdzenie odpowiedzialności za proces certyfikacji • aktualny wypis z KRS lub potwierdzenie numeru NIP lub REGON • potwierdzenie odpowiedzialności za proces certyfikacji • aktualny wypis z KRS lub potwierdzenie numeru NIP lub REGON • potwierdzenie odpowiedzialności za proces certyfikacji • aktualny wypis z KRS lub potwierdzenie numeru NIP lub REGON Wymagane dokumenty w celu weryfikacji tożsamości • dla osoby fizycznej: kopia dowodu tożsamości subskrybenta potwierdzona podpisem lub notarialnie • dla instytucji lub osoby prawnej: kopia dowodu tożsamości osoby odpowiedzialnej za proces certyfikacji potwierdzona podpisem lub notarialnie • dla osoby fizycznej: kopia dowodu tożsamości subskrybenta potwierdzona podpisem lub notarialnie • dla instytucji lub osoby prawnej: kopia dowodu tożsamości osoby odpowiedzialnej za proces certyfikacji potwierdzona podpisem lub notarialnie • dla osoby fizycznej: kopia dowodu tożsamości subskrybenta potwierdzona podpisem lub notarialnie • dla instytucji lub osoby prawnej: kopia dowodu tożsamości osoby odpowiedzialnej za proces certyfikacji potwierdzona podpisem lub notarialnie 2048 / 4096 2048 / 4096 2048 / 4096 SHA-1 SHA-1 SHA-1 .exe, .dll, .ocx, .cab, .msi, .msp .jar, .war, .ear .docm, .xlsm, .pptm, .xpi Bezpłatne unieważnienie i wymiana Podpisywanie: • apletów Java • aplikacji internetowych opartych o technologię Java Możliwość nagrania certyfikatu na kartę kryptograficzną Darmowe podpisywanie znacznikiem czasu 3 główne korzyści z podpisywania kodu oprogramowania Zalecana długość klucza Funkcja skrótu certyfikatu Użytkownik otrzyma informację, że korzysta z programu, który pochodzi z wiarygodnego i zaufanego źródła. Pojawią się w nim dane jego twórcy i/lub firmy, która go opracowała. W innym przypadku zostanie powiadomiony komunikatem, że plik jest niepodpisany lub nie może być zweryfikowany i jest potencjalnie niebezpieczny. Gwarancja bezpieczeństwa Podpisany za pomocą certyfikatu kod programu zapewnia ochronę oprogramowania. Dobre, zaufane centra certyfikacji udzielają wysokich gwarancji finansowych na to, że nie ma technicznej możliwości złamania podpisu cyfrowego, złożonego przy pomocy ich certyfikatów. Zaufanie Podpisanie kodu to koniec komunikatów o „nieznanym wydawcy” i „niebezpiecznym oprogramowaniu” w systemach operacyjnych firmy Microsoft oraz Java, które pojawiają się w przypadku aplikacji bez podpisu elektronicznego. Microsoft Authenticode - komunikaty Przyjazny komunikat o rozpoznaniu źródła programu Podpisywanie: • programów UNIX/Linux • makr VBA • aplikacji Apple (MacOS X) • Adobe AIR • rozszerzeń do Firefoxa i Netscape’a Dokumentacja i obsługa klienta w języku polskim Przykładowe obsługiwane formaty1 TECHNICZNE Software Publisher Podpisywanie: • apletów Java • aplikacji internetowych opartych o technologię JAVA 1 rok Standardowy czas wydania od momentu zweryfikowania danych Java Code Signing Software Publisher 20 000 PLN Okres ważności Wiarygodność • bibliotek systemu operacyjnego Windows • komponentów i kontrolek ActiveX Podpisywanie: • komponentów i kontrolek ActiveX • bibliotek systemu operacyjnego Windows Podpisywanie: OGÓLNE Jest to możliwe, ponieważ podpisany kod programu nie jest podatny na niezauważalne zmiany wprowadzane przez osoby trzecie i wirusy, a sam certyfikat, wykorzystany w procesie podpisywania kodu, zawiera dane wydawcy sprawdzone przez zaufane Centrum Certyfikacji. Java Code Signing Właściwości Przykładowe narzędzia, które można wykorzystać do podpisywania • Signcode.exe • SignTool • Visual Studio Express • Jarsigner i verifier z Java JDK 1.5+ • Pakiet MS Office 2000+ • ToolSign.sh i openSSL dla UNIX/Linux • Firefox, Key Manager Wymagania techniczne do ściągnięcia certyfikatu • Przeglądarka Microsoft Internet Explorer 5.0 lub nowsza • MS Windows 2000, XP, Vista (32 bit), Windows 7 (32 bit) • Przeglądarka internetowa wspierająca obsługę certyfikatów X.509 v.3 (np. Internet Explorer, Opera, Firefox) • MS Windows 2000, XP, Vista (32 bit), Windows 7 (32 bit), Linux/UNIX • Java JDK 1.5+ • Przeglądarka internetowa wspierająca obsługę certyfikatów X.509 v.3 (np. Internet Explorer, Opera, Firefox) • MS Windows 2000, XP, Vista (32 bit), Windows 7 (32 bit), Linux/UNIX Rozpoznawanie jako zaufany przez najpopularniejsze przeglądarki internetowe, systemy operacyjne i programy • Microsoft Internet Explorer (IE) 5+, • Mozilla Firefox 0.9+, • Opera 9.5+, • Google Chrome 1.01+, • Apple Safari 4.0, • AOL 5+, • Netscape Communicator 4.51+, • Camino Konqueror (KDE), • Apple iPhone, • iPod, • Safari 3.0, • Opera Mini 4.10+, • Microsoft Windows, • Apple MacOS X (10.5.8+), • Linux (OpenSSL v0.9.5+), • Microsoft Outlook 2003, • Mozilla Thunderbird 1.0+, • Netscape Communicator 4.51+, • Apple Mail, • The Bat, • Microsoft Office (Word, Excel, Powerpoint, Access, InfoPath), • Mozilla Suite v.0.9.9+, • SeaMonkey, • Microsoft Authenticodes & Visual Basic Applications (VBA), • Sun Java JRE (1.4.2 Update 16+, 5.0 Update 13+, 6 Update 3+) 1 - i inne typy plików wspierających podpis cyfrowy Java Code Signing - komunikaty Komunikat ostrzegawczy w przypadku nieznanego źródła oprogramowania Przyjazny komunikat o rozpoznaniu źródła programu Komunikat ostrzegawczy w przypadku nieznanego źródła oprogramowania