Windowsコード署名の進化
Windowsコード署名の進化
Windowsでのコード署名は、長年にわたって大きな変化を遂げてきました。初期の頃は、信頼された認証局からの任意の証明書を使用してアプリケーションに署名でき、Windowsはそれを信頼していました。プロセスは比較的単純でしたが、セキュリティ上の制限がありました。有効な証明書を持つ誰でもコードに署名でき、開発者の身元確認はほとんど行われませんでした。
マイクロソフトは、時間の経過とともにより厳格な要件を導入しました。最初の大きな変更は、コード署名証明書が秘密鍵をファイルに保存する代わりに、USBドングルやスマートカードなどのハードウェアトークンを使用することを要求したことです。これにより、攻撃者が署名鍵を盗むことがはるかに困難になりました。次の変更は、拡張検証(EV)コード署名証明書の導入であり、開発者の身元をより徹底的に確認する必要がありました。
最も重要な変更は、SmartScreenとレピュテーションベースのシステムでした。有効な署名があっても、アプリケーションが新しくてレピュテーションがない場合、Windows SmartScreenはユーザーに警告を表示しました。これにより、新しい開発者がアプリケーションを配布することが難しくなりました。このシステムは、未知のソフトウェアからユーザーを保護するために設計されましたが、始めたばかりの正規の開発者にとっては障壁にもなりました。
マイクロソフトは署名プロセスを進化させ続けています。最新の変更には、タイムスタンプのサポートが含まれており、証明書の有効期限が切れた後でも署名が有効であることが保証されます。Windows Hardware Developer CenterとPartner Centerの導入により、証明書を取得するプロセスが合理化されました。そして最近では、マイクロソフトはAzure Trusted Signingを導入し、クラウドベースの署名を使用することでハードウェアトークンを完全に不要にしました。
一緒に取り組みましょう
さらに詳しい情報やプロジェクトのヘルプ、またはアイデアの構築が必要ですか?
簡単な質問でもフルプロジェクトでも、お気軽にどうぞ。お問い合わせいただき、あなたのアイデアを一緒に実現しましょう。
お問い合わせ →