“数字签名”是个加密的过程,“数字签名验证”是个解密的过程。
一些公司发布的软件,如微软的产品、升级补丁、卡巴、自由门、无界浏览、赛风等翻墙软件,等等,软件都自带有数字签名,下载后可以验证其数字签名来确认是否正版鉴别真伪。
一:简单验证方法:
鼠标右键点待验证的软件 ==> 弹出右键菜单 ==> 属性 ==> 数字签名 ==> 点选框中的公司名 ==> 细节 ==> 弹出新窗口 ==> 注意看上部是不是显示 “该数字签名正常” ! ==> 然后点“浏览证书” ==> 弹出新窗口 ==> 看看是不是软件发布者的公司名和数字证书有效期,如果完全一致就表明是正版软件了。更進一步的验证请参看下面的图文详细教程。
若要进一步认证软件签发者的证书是否属假冒,请点击上图 "查看证书"按键,下面分两步,实质上验证效果是一样。
其一是,進一步查看完整的公司名(必需100%的与原发布者的公司名相同,包括其大小写的区别)和签名有效期;
其二是,点“详细信息后,可以看到证书的微缩图是28 11 bc cb c3 de d8 41 96 fb 68 a4 4c b0 a9 8b 44 76 cb f3这样的一串数字,这是与发布者的专用公司名对应的唯一的指纹标识。
验证结果::
1)如果某公司发布的软件本应该有数字签名,但验证时却没有"数字签名"页;
2)签发者不是发布公司的公司名;
3)签名失效
说明此软件文件已被修改或是假冒。
二、批量验证“数字签名”
请参考美博园以前的文章:
SigcheckGUI_v1.09 批量验证 数字签名 的可视化工具官方绿色版下载
附注:
证书颁发机构 (CA)发给某个公司的数字签名(证书)一般包括一个公钥及其有效期、姓名、发证机构、序列号和发证者的数字签名等资料,而且使用的是不可逆的SHA算法。
就是说数字签名(证书)是有有效期的,在有效期范围内的签名才是有效的。
比如,软件公司要发布某个版本的软件,在有效期内用证书颁发机构 (CA)发给该公司的证书签名才是有效的。那么,在那个有效期之内,公司发布的那个版本的软件只要验证数字签名正常,说明是该公司发布的正版。但是之后,有效期会到期,由于那个软件在有效期内已经是那个公司的签名验证了正常的,所以,证书失效后并不影响用户使用的那个特定版本的软件是正版。
数字签名有效期到了之后,还可以申请加时间戳来延长证书有效期,以保证在密钥等过期后证实签名的有效性。