签署代码（例如 jar）有什么意义？

Question

当每个人都可以使用 jarsigner 来签名你的代码（就像 Java 的 jar 一样）有什么意义呢？ 它如何提供安全性？

Answer 1

对 JAR 文件进行签名的目的是验证它没有被篡改。一旦对 jar 文件进行签名，您就可以验证该文件是否未被其他人修改。这可确保该文件源自最初签名的人。如果有人在中间修改了文件，签名验证过程将失败。您可以查看这篇文章，了解有关如何公钥加密可用于执行数字签名。

Answer 2

当您签署 jar 文件时，您可以表明是您签署的，而不是其他人。

当你签署一份文件时，也是同样的想法——只有你可以写下你的签名。其他人可以签署它，但他们会使用他们的签名，而不是您的签名。

通过手写签名，熟练的伪造者可以学会复制您的签名。使用数字签名，制作副本要困难得多，因为您需要获取该人的私人信息钥匙。如果没有私钥，您就无法制作看起来像他们的签名。

Answer 3

对 jar 进行签名将内容与特定证书联系起来。那么这个证书能证明什么呢？

如果证书的私钥被盗，那么情况也不会那么严重。有防篡改设备来保存私钥。然而，私钥常常隐藏在开发人员的机器上。这些机器可能没有得到很好的保护。

证书本身可以由知名的证书颁发机构 (CA) 签名。因此，最终用户对内容具有所声称的来源有一定的信心。证书密钥持有者与其声称的身份的验证量各不相同。这导致了一场逐底竞争，CA 简化程序以提供更低的价格。

即使对于未经验证的证书，使用同一证书签名的不同内容也显示出共同的来源。因此，如果您决定信任某个证书，您就可以从同一来源接收更多内容，而无需信任其他任何人。