コード署名 - 技術的なFAQ

Authenticodeとは何ですか？

Authenticodeは32ビット版の .exeファイル(PEファイル)、.cabファイル、.ocxファイル、.classファイルに署名するために現在使用されているテクノロジーです。特に、Internet Explorer、Exchange、Outlook、Outlook ExpressのようなMicrosoftユーザーアプリケーションと一緒に使用するためにActiveXコントロールなどのアクティブコンテンツを配布する場合、Authenticodeを使ってコードに署名しなければならない場合があります。

デジタルID/デジタル証明書とは何ですか？

デジタル証明書ともいうデジタルIDは、インターネットで使用する電子証明書の一つの形式です。デジタルIDは、ID所有者の実在を確立するために信頼される第三者によって発行されます。この証明書を発行する第三者は認証局(CA)といいます。デジタルIDテクノロジーは公開鍵暗号方式理論を基にしています。公開鍵暗号方式システムでは、あらゆる組織は補完的関係にある2つの鍵(公開鍵と秘密鍵)を持っており、同時に使用されるときだけ有効に機能します。デジタルIDの目的は公開鍵/秘密鍵の対をその所有者と確実に結びつけることです。認証局はデジタルIDを発行するとき、鍵対の所有者が偽りの身元を主張していないことを確認します。

タイムスタンプとは何ですか？

鍵対は膨大な時間ど労力をかければ解読できる数学的関係を基に作られるので、デジタル証明書を満了させるというのは、充分確立されたセキュリティー原則です。.デジタルIDは発行後1年で満了します。.ただし、ほとんどのソフトウェアは1年を超える期限を持つように作られています。証明書の満期が来るたびに当のソフトウェアを放棄しなければならないのをさけるために、タイムスタンプサービスが提供されています。お客さまがコードに署名すると、そのコードのハッシュが認証局に送信され、タイムスタンプが押されます。つまり、デジタルIDが満了したときソフトウェアの放棄について思い煩う必要はありません。Microsoft Authenticodeを使うと、お客さまは署名されたコードにタイムスタンプを押すことが可能になり、証明書が満了しても署名は満了しません。

タイムスタンプサーバー - 場所と使い方

コードに署名するときは、認証したいコードをハッシュアルゴリズムに通し、秘密鍵を使って結果のハッシュに署名すれば、デジタル署名となります。次に署名ブロックを構築します。このブロックにはデジタル署名とコード署名証明書が入ります。Authenticodeのようなツールを使うと、Comodoなどのタイムスタンプサービスプロバイダーが提供する現在の日時を基に、署名ブロックにタイムスタンプを押すことができます。最後に、タイムスタンプを押した署名ブロックをオリジナルのソフトウェアに結合します。これで、お客さまのダウンロード用Webサイトで署名付きソフトウェアを発行できます。

このプロセスでは、ComodoのタイムスタンプサーバーのURL(http://timestamp.comodoca.com/authenticode)を知っておく必要があります。

エンドユーザーが未署名コンポーネントをインターネットを介して配布された場合、どうなるでしょうか？

アプリケーションのエンドユーザーが未署名コンポーネントをインターネットを介して配布された場合、次のようになります。

• 当のアプリケーションのセキュリティー設定が[高]に設定されている場合、クライアントアプリケーションは未署名コードのロードを許可しません。
• アプリケーションのセキュリティー設定が[中]に設定されている場合、クライアントアプリケーションは次の画面のような警告を表示します。

エンドユーザーが署名コンポーネントをインターネットを介して配布された場合、どうなるでしょうか？

エンドユーザーが署名されたアプレットなどのコードに遭遇すると、クライアントアプリケーションは次のような画面を表示します。

申請者にデジタル証明書を発行するのは誰ですか？

認証局は、自分の実在を保証してもらいたい申請者に対してデジタル証明書を発行する組織です。それぞれのデジタル証明書はそれに署名した認証局の証明書とリンクしています。

認証局の業務は何ですか？

インターネットの有力認証局であるComodoは次のような業務を行ないます。

• 証明書の付与、失効、および管理の基準を発行する。
• 公開されている基準を満たしている申請者に証明書を付与する。
• 証明書を管理する(登録、更新、失効など)。
• Comodoのルート鍵を特別に安全な方法で保管する。
• 申請者から送られた証拠を確認する。
• 登録用ツールを提供する。
• 業務と関連する責任を受け入れる。
• デジタル署名にタイムスタップを押す。.

コード署名プロセスの6ステップは何ですか？

1. すべてのツールについて適切なバージョンを実行していることを確認する。
2. Comodoから発行されるAuthenticode向けコード署名IDを申請する。
3. デジタルIDを取得する。
4. ファイルの署名準備をする。
5. ファイルに署名する。
6. 署名を検査する。

わたしとわたしの顧客がわたしの証明書ストアに最新のMicrosoftルートを持っていることを、どのように確認しますか？

Windows XPでは、あらゆるものが自動であり、つまり優に2億以上の顧客が最新の証明書のすべてに自動的にアクセスできます。XP以前のWindowsでは、最新のルート更新をインストールすることを強くお勧めします。適切なセキュリティーポリシーではルート証明書ストアに、信頼される認証局すべての最新ルート証明書を用意しておく必要があり、それによって信頼できるコンテンツを受け入れる幅広い機能が提供されます最新のMicrosoftルート証明書をここからインストールしてください。
ルート更新
信頼される証明書サービス
Comodoコード署名認証局

当社の署名ファイルにタイムスタンプを押したいと考えています。タイムスタップサーバーのURLを教えていただけませんか？

Comodoのタイムスタンプサーバーは http://timestamp.comodoca.com/authenticodeにあります。