2
我试图弄清楚如何在我的工作场所设置Authenticode签名。安全隐患正在强调我。构建服务器上的安全Authenticode密钥
我最初的想法是,控制密钥的人应该将其安装到构建服务器并加以保护,以便只有构建帐户才能访问它。
这似乎相当安全,但实际上并非如此。是的,您目前无法窃取证书,但如果您可以创建构建版本,则可以通过构建帐户来签署任何二进制文件。
有没有人熟悉这个过程给我一些指点?
A
回答
1
事实上,如果该键可用于构建帐户使用,这也可以在管理员的帐户,它可以被用来签署其他文件。不管你给别人的炫耀是不是你的。如果您无法保护服务器免受其他人的访问,那么您不能完全控制服务器,这会造成误操作的可能性。坦率地说,我无法想象一种方法(除了移动签名到其他可信系统)以防止密钥被误用。即使密钥不能被提取或复制(也就是说它被用于cryptotoken),它仍然可以以某种方式使用。
相关问题
- 1. 流星服务器只变量/安全密钥
- 2. 构建服务器(CI服务器)上的构建或重建
- 3. 构建服务器 - 在构建服务器上安装外部控制库(DevExpress)
- 4. SVN服务器端密码安全
- 5. 保护用户的云服务API密钥安全
- 6. 注册表 - 创建密钥 - 安全
- 7. Google API中的服务器密钥,安全密钥,浏览器密钥和iOS密钥之间有什么区别?
- 8. 服务器体系结构/安全性文件服务器
- 9. 如何在游戏服务器上安全地保存密码?
- 10. 安全地在服务器上存储密码
- 11. 安全地检索密钥
- 12. 破解安全密钥
- 13. 了解安全和密钥
- 14. Kinvey密钥和秘密密钥安全的Web
- 15. 当授权密钥是我的服务器密钥时Firebase MismatchSenderID
- 16. 加密 - 服务器的公钥
- 17. 联系Inno安装程序的许可证密钥服务器?
- 18. 在服务器上存储开发人员API密钥/秘密
- 19. WCF服务安全建议
- 20. 安全性:密码加密结果取决于服务器吗?
- 21. 使用DPAPI安全加密密钥
- 22. 构建服务器上的ChatFx Lite LicenseException
- 23. Debian服务器安全性
- 24. 服务器端安全
- 25. 密钥容器,足够安全地存储私钥?
- 26. 从Github服务器导出ssh密钥
- 27. 解析服务器帐号密钥
- 28. 部署SSH密钥服务器
- 29. SQL服务器:非对称密钥
- 30. 服务器上的密文
那时我很茫然。贵公司的Authenticode是否签署了二进制文件? – Will 2010-10-18 18:26:19
是的,但我们相当小公司,只有两个人可以访问发布构建过程(每个开发人员都可以构建调试版本,但他将无法签署驱动程序)。我们已经通过以下方式解决了这个问题:签名的关键在于TrueCrypt虚拟卷,该卷仅在生成时装载,所以我们可以让任何开发人员访问构建系统,但仍然无法创建发布签署的版本。 – 2010-10-18 18:42:02