Запустив сегодня программу, описанную в статье, я увидел следующее предупреждение:
Бросается в глаза необычный префикс, Open source developer. Кроме того, несколько дней назад я уже видел точно такой же префикс, с другим именем. Напрашивается вывод, что, скорее всего, существует какая-то программа выдачи подобных сертификатов.
Несложный поиск показал следующее:
Как известно, пренебрегать безопасностью не стоит. (Если кто не в курсе: цифровая подпись файла защищает его от несанкционированных изменений. Сертификат удостоверяет, что автор подписанного файла — это вы, и никто другой.)
В современном мире практически невозможно встретить программу от крупного вендора без цифровой подписи. Все больше моих знакомых начинает обращать внимание на наличие ЦП у запускаемой или устанавливаемой программы, благодаря тому, что Windows выводит эту информацию (см. КДПВ).
На Хабре затрагивали тему подписывания кода несколько раз: общий обзор, советы по упрощению процедуры. Не так давно рассматривался вариант от StartSSL, тем не менее, требующий подтверждения личности class 2 (в терминах StartSSL), уже являющейся платной (в отличие от бесплатной class 1 для доменов).
Сумма в 60-500 долларов — не деньги для хоть сколько-нибудь крупной компании. Но как быть в случае с Open Source? Зачастую подобные проекты (если речь не идет об именах, которые у всех на слуху) не имеют достаточного финансирования либо разрабатываются исключительно на энтузиазме и других нематериальных ценностях.
Для таких случаев можно воспользоваться предложением от польской компании Certum:
Для этого необходимо зарегистрироваться (форма доступна также на русском языке) и отослать на email следующие документы:
- Копия ID карты / паспорта / водительского удостоверения и пр, с указанием даты на копии, пометкой „I hereby confirm compliance with the original”, датой и личной подписью (подробнее — на сайте).
- Адрес страницы Open Source продукта. Компания предупреждает, что проверка производится на основе общедоступной информации, поэтому проект должен быть представлен в сети.
Как видим, процедура достаточно простая и не занимает много времени (по заявлениям компании — до 24 часов).
Для сертификатов заявляется следующее (перевел только существенные пункты, полную версию см. на сайте):
- Упрощенная процедура идентификации личности
- Соответствие WebTrustSM/TM
- Корневой сертификат CERTUM входит в список доверенных во всех популярных браузерах и продуктах Microsoft
- Выдача в течение 24 часов после проверки
- Хэш SHA1 (на 04.11.2014). Скорее всего, в ближайшем будущем будет предлагаться SHA2.
- Подпись для расширений .docm, xlsm, .pptm, .xpi, .jar, .war, .ear, exe, .dll, .ocx, .cab, .msi.
- Бесплатные отзыв или перевыпуск
- Возможность хранения ключа на smart card
- Бесплатный time stamp
- Possible internal and external signatures creation
- Среди поддерживаемых продуктов: MS Office 2000+, ToolSign.sh и openSSL for UNIX/Linux, Firefox, Key Manager, Jarsigner and verifier из Java JDK 1.5+, SignTool, SignCode, Visual Studio Express
- Поддержка certificate revocation list (CRL) и Online Certificate Status Protocol (OCSP)
- Срок выдачи: 1 год
- Техподдержка 24h
- Рекомендуемая длина ключа 2048 – 4096 бит, минимальная: RSA/DSA — 2048 бит, EC — 571 бит (NIST K-571 и NIST B-571).
Похоже, что безопасность становится трендом, и появляется все больше некоммерческих предложений в разных сферах. Интересно, что нам предложат следующим?
Автор: istui
