कोड साइनिंग: Difference between revisions

From Vigyanwiki
m (Arti Shah moved page कोड पर हस्ताक्षर to कोड साइनिंग without leaving a redirect)
m (12 revisions imported from alpha:कोड_साइनिंग)
 
(10 intermediate revisions by 2 users not shown)
Line 1: Line 1:
{{Short description|Software authentication}}
{{Short description|Software authentication}}'''कोड साइनिंग''' सॉफ्टवेयर स्क्रिप्ट को कन्फर्म करने और यह गारंटी देने के लिए [[निष्पादन|एक्सेक्यूटेबल्स]] और स्क्रिप्ट पर [[डिजिटल हस्ताक्षर और कानून|डिजिटल रूप से साइनिंग]] करने की प्रक्रिया है कि कोड पर साइनिंग किए जाने के पश्चात से उसे ऑल्टड या कर्रप्टेड नहीं किया गया है। यह प्रोसेस ऑथेंटिसिटी और इंटीग्रिटी को वैलिड करने के लिए क्रिप्टोग्राफ़िक हैश का उपयोग करती है।<ref>{{Cite web|url=https://msdn.microsoft.com/en-us/library/ms537361(v=vs.85).aspx|title=Introduction to Code Signing}}</ref> कोड साइनिंग का आविष्कार 1995 में माइकल डॉयल द्वारा ईओलास वेबविश ब्राउज़र प्लग-इन के भाग के रूप में किया गया था, जिसने सीक्रेट की का उपयोग करके डाउनलोड करने योग्य वेब ऐप प्रोग्राम कोड पर साइनिंग करने के लिए पब्लिक-की क्रिप्टोग्राफी के उपयोग को सक्षम किया, जिससे प्लग-इन कोड इंटरप्रेटर कर सके। फिर कोड इंटरप्रेटर के एपीआई तक एक्सेस करने की अनुमति देने से पहले कोड को ऑथेंटिकेट करने के लिए संबंधित पब्लिक की का उपयोग किया जाता है। <ref>{{Cite web|url= https://archive.org/details/dr_dobbs_journal-1996_02/page/22/mode/2up|title=WebWish: Our Wish is Your Command}}</ref>
{{more citations needed|date=January 2012}}


कोड हस्ताक्षर सॉफ्टवेयर लेखक की पुष्टि करने और यह गारंटी देने के लिए डिजिटल रूप से [[डिजिटल हस्ताक्षर और कानून]] [[निष्पादन]] योग्य और स्क्रिप्टिंग भाषा की प्रक्रिया है कि कोड पर हस्ताक्षर किए जाने के बाद से उसे बदला या दूषित नहीं किया गया है। यह प्रक्रिया प्रामाणिकता और अखंडता को मान्य करने के लिए क्रिप्टोग्राफ़िक हैश का उपयोग करती है।<ref>{{Cite web|url=https://msdn.microsoft.com/en-us/library/ms537361(v=vs.85).aspx|title=Introduction to Code Signing}}</ref> कोड साइनिंग का आविष्कार 1995 में माइकल डॉयल द्वारा ईओलास वेबविश ब्राउज़र प्लग-इन के हिस्से के रूप में किया गया था, जिसने एक गुप्त कुंजी का उपयोग करके डाउनलोड करने योग्य वेब ऐप प्रोग्राम कोड पर हस्ताक्षर करने के लिए सार्वजनिक-कुंजी क्रिप्टोग्राफी के उपयोग को सक्षम किया, ताकि प्लग-इन कोड दुभाषिया कर सके। फिर कोड दुभाषिया के एपीआई तक पहुंच की अनुमति देने से पहले कोड को प्रमाणित करने के लिए संबंधित सार्वजनिक कुंजी का उपयोग करें। <ref>{{Cite web|url= https://archive.org/details/dr_dobbs_journal-1996_02/page/22/mode/2up|title=WebWish: Our Wish is Your Command}}</ref>
कोड साइनिंग कई वैल्युएबल फीचर प्रदान कर सकते हैं। कोड साइनिंग का सबसे सरल उपयोग डेप्लॉयिंग के टाइम सिक्योरिटी प्रदान करना है; कुछ प्रोग्रामिंग लैंग्वेज में, इसका उपयोग नेमस्पेस कन्फ्लिक्ट्स को प्रिवेंट करने में सहायता के लिए भी किया जा सकता है। लगभग सभी कोड साइनिंग इम्प्लीमेंटेशन ऑथर या बिल्ड सिस्टम की आइडेंटिटी को वेरीफाई करने के लिए कुछ प्रकार के डिजिटल साइनिंग मैकेनिज्म प्रदान करेगा, और यह वेरीफाई करने के लिए[[ अंततः, | चेकसम]] प्रदान करेगा कि ऑब्जेक्ट को मॉडिफाई नहीं किया गया है। इसका उपयोग किसी ऑब्जेक्ट के बारे में वर्जनिंग इनफार्मेशन प्रदान करने या किसी ऑब्जेक्ट के बारे में अन्य [[ मेटाडाटा |मेटाडाटा]] स्टोर करने के लिए भी किया जा सकता है।<ref>{{cite web |url= https://www.cabforum.org/wp-content/uploads/Baseline_Requirements_V1.pdf|title= विश्वसनीय प्रमाणपत्रों का संपूर्ण अवलोकन - CABForum|year=2015 |last1=Hendric |first1=William |access-date=2015-02-26}}</ref>
कोड हस्ताक्षर कई मूल्यवान सुविधाएँ प्रदान कर सकते हैं। कोड हस्ताक्षर का सबसे आम उपयोग तैनाती के समय सुरक्षा प्रदान करना है; कुछ प्रोग्रामिंग भाषाओं में, इसका उपयोग नेमस्पेस विवादों को रोकने में मदद के लिए भी किया जा सकता है। लगभग हर कोड हस्ताक्षर कार्यान्वयन लेखक या निर्माण प्रणाली की पहचान को सत्यापित करने के लिए कुछ प्रकार के डिजिटल हस्ताक्षर तंत्र प्रदान करेगा, और यह सत्यापित करने के लिए एक [[ अंततः, ]] प्रदान करेगा कि ऑब्जेक्ट को संशोधित नहीं किया गया है। इसका उपयोग किसी ऑब्जेक्ट के बारे में संस्करण जानकारी प्रदान करने या किसी ऑब्जेक्ट के बारे में अन्य [[ मेटाडाटा ]] संग्रहीत करने के लिए भी किया जा सकता है।<ref>{{cite web |url= https://www.cabforum.org/wp-content/uploads/Baseline_Requirements_V1.pdf|title= विश्वसनीय प्रमाणपत्रों का संपूर्ण अवलोकन - CABForum|year=2015 |last1=Hendric |first1=William |access-date=2015-02-26}}</ref>
सॉफ़्टवेयर के लिए प्रमाणीकरण तंत्र के रूप में कोड हस्ताक्षर की प्रभावशीलता अंतर्निहित हस्ताक्षर कुंजी की सुरक्षा पर निर्भर करती है। अन्य सार्वजनिक कुंजी अवसंरचना|सार्वजनिक कुंजी अवसंरचना (पीकेआई) प्रौद्योगिकियों की तरह, सिस्टम की अखंडता अनधिकृत पहुंच के खिलाफ अपनी निजी कुंजी सुरक्षित करने वाले प्रकाशकों पर निर्भर करती है। सामान्य प्रयोजन के कंप्यूटरों पर सॉफ़्टवेयर में संग्रहीत कुंजियाँ समझौता करने के लिए अतिसंवेदनशील होती हैं। इसलिए, [[हार्डवेयर सुरक्षा मॉड्यूल]] या हार्डवेयर सुरक्षा मॉड्यूल के रूप में जाने जाने वाले सुरक्षित, छेड़छाड़-रोधी, क्रिप्टोग्राफ़िक हार्डवेयर उपकरणों में चाबियाँ संग्रहीत करना अधिक सुरक्षित और सर्वोत्तम अभ्यास है।<ref>{{Cite web|url=https://www.thawte.com/code-signing/whitepaper/best-practices-for-code-signing-certificates.pdf|title=Securing your Private Keys as Best Practice for Code Signing Certificates}}</ref>


सॉफ़्टवेयर के लिए ऑथेंटिकेशन मैकेनिज्म के रूप में कोड साइनिंग की एफ्फिकसी अंडरपिंनिंग साइनिंग की सिक्योरिटी पर निर्भर करती है। अन्य पब्लिक की इन्फ्रास्ट्रक्चर (पीकेआई) टेक्नोलॉजीज के जैसे, सिस्टम की इंटीग्रिटी अनऑथॉरिज़ेड एक्सेस के अगेंस्ट अपनी प्राइवेट की सेकुरिंग करने वाले पब्लिशर्स पर निर्भर करती है। जनरल पर्पस के कंप्यूटरों पर सॉफ़्टवेयर में स्टोर कीस कोम्प्रोमाईज़ करने के लिए ससटेबल होती हैं। इसलिए, कीस को [[हार्डवेयर सुरक्षा मॉड्यूल|हार्डवेयर सिक्योरिटी मॉड्यूल]] या एचएसएम के रूप में जाने वाले सिक्योर, टेमपर-प्रूफ, क्रिप्टोग्राफ़िक हार्डवेयर डिवाइस में स्टोर करना अधिक सिक्योर और बेस्ट प्रैक्टिस है।<ref>{{Cite web|url=https://www.thawte.com/code-signing/whitepaper/best-practices-for-code-signing-certificates.pdf|title=Securing your Private Keys as Best Practice for Code Signing Certificates}}</ref>


==सुरक्षा प्रदान करना==
== सिक्योरिटी प्रदान करना ==
कई कोड हस्ताक्षर कार्यान्वयन [[ परिवहन परत सुरक्षा ]] या [[ सुरक्षित खोल ]] द्वारा नियोजित प्रक्रिया के समान, कुंजी की एक जोड़ी, एक सार्वजनिक और एक निजी, को शामिल करते हुए एक सिस्टम का उपयोग करके कोड पर हस्ताक्षर करने का एक तरीका प्रदान करेंगे। उदाहरण के लिए, .NET के मामले में, डेवलपर हर बार निर्माण करते समय अपनी लाइब्रेरी या निष्पादन योग्य पर हस्ताक्षर करने के लिए एक निजी कुंजी का उपयोग करता है। यह कुंजी किसी डेवलपर या समूह या कभी-कभी प्रति एप्लिकेशन या ऑब्जेक्ट के लिए अद्वितीय होगी। डेवलपर या तो यह कुंजी स्वयं उत्पन्न कर सकता है या किसी विश्वसनीय प्रमाणपत्र प्राधिकारी (सीए) से प्राप्त कर सकता है।<ref>{{Cite web |url = https://www.instantssl.com/code-signing-certificate.html |title =  What is Code Signing? |date = 17 June 2011 |first = William |last = Hendric |access-date = 26 February 2015}}</ref>
कई कोड साइनिंग इम्प्लीमेंटेशन [[ परिवहन परत सुरक्षा |टीएलएस]] या [[ सुरक्षित खोल |एसएसएच]] द्वारा एम्प्लॉयड प्रोसेस के समान, की पेयर, पब्लिक और प्राइवेट को सम्मिलित करते वाले सिस्टम का उपयोग करके कोड पर साइनिंग करने का मेथड प्रदान करेंगे। उदाहरण के लिए, .NET के केस में, डेवलपर बिल्ड करते टाइम अपनी लाइब्रेरी या एक्सेक्यूटेबल्स पर साइनिंग करने के लिए प्राइवेट की का उपयोग करता है। यह की किसी डेवलपर या ग्रुप या कभी-कभी पर एप्लिकेशन या ऑब्जेक्ट के लिए यूनिक होगी। डेवलपर या तो यह की सेल्फ उत्पन्न कर सकता है या किसी ट्रस्टड सर्टिफिकेट अथॉरिटी (सीए) से प्राप्त कर सकता है।<ref>{{Cite web |url = https://www.instantssl.com/code-signing-certificate.html |title =  What is Code Signing? |date = 17 June 2011 |first = William |last = Hendric |access-date = 26 February 2015}}</ref>
कोड हस्ताक्षर वितरित वातावरण में विशेष रूप से मूल्यवान है, जहां किसी दिए गए कोड का स्रोत तुरंत स्पष्ट नहीं हो सकता है - उदाहरण के लिए [[जावा एप्लेट]], [[एक्टिवेक्स]] नियंत्रण और अन्य सक्रिय वेब और ब्राउज़र स्क्रिप्टिंग कोड। एक अन्य महत्वपूर्ण उपयोग मौजूदा सॉफ़्टवेयर को सुरक्षित रूप से अपडेट और पैच प्रदान करना है।<ref>{{Cite web|url=https://msdn.microsoft.com/en-us/library/windows/desktop/aa368289(v=vs.85).aspx|title=Digital Signatures and Windows Installer}}</ref> [[माइक्रोसॉफ़्ट विंडोज़]], {{nowrap|[[Mac OS X]]}}, और अधिकांश [[लिनक्स वितरण]] यह सुनिश्चित करने के लिए कोड हस्ताक्षर का उपयोग करके अपडेट प्रदान करते हैं कि दूसरों के लिए पैच सिस्टम के माध्यम से दुर्भावनापूर्ण रूप से कोड वितरित करना संभव नहीं है। यह प्राप्तकर्ता ऑपरेटिंग सिस्टम को यह सत्यापित करने की अनुमति देता है कि अपडेट वैध है, भले ही अपडेट तीसरे पक्ष या भौतिक मीडिया (डिस्क) द्वारा वितरित किया गया हो।


पहली बार चलाने (कंप्यूटिंग) पर सॉफ़्टवेयर को प्रमाणित करने के लिए विंडोज़ और मैक ओएस एक्स पर कोड साइनिंग का उपयोग किया जाता है, जिससे यह सुनिश्चित होता है कि सॉफ़्टवेयर के साथ किसी तीसरे पक्ष के वितरक या डाउनलोड साइट द्वारा दुर्भावनापूर्ण रूप से छेड़छाड़ नहीं की गई है। कोड हस्ताक्षर के इस रूप का उपयोग लिनक्स पर उस प्लेटफ़ॉर्म की विकेन्द्रीकृत प्रकृति के कारण नहीं किया जाता है, [[ पैकेज प्रबंधक ]] सभी प्रकार के सॉफ़्टवेयर (केवल अपडेट और पैच नहीं) के लिए वितरण का प्रमुख तरीका है, साथ ही [[ओपन-सोर्स मॉडल]] प्रत्यक्ष निरीक्षण की अनुमति देता है यदि वांछित हो तो स्रोत कोड का। [[डेबियन]]-आधारित लिनक्स वितरण (दूसरों के बीच) सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करके डाउनलोड किए गए पैकेजों को मान्य करते हैं।<ref>{{Cite web|url=https://wiki.debian.org/SecureApt|title=SecureApt - Debian Wiki}}</ref>
कोड साइनिंग डिस्ट्रिब्यूटेड एनवीरोंमेंट्स में विशेष रूप से वैल्युएबल है, जहां किसी दिए गए कोड का सोर्स इम्मेडिएटली एविडेंट नहीं हो सकता है- उदाहरण के लिए [[जावा एप्लेट]], [[एक्टिवेक्स|एक्टिवएक्स]] कंट्रोल्स और अन्य एक्टिव वेब और ब्राउज़र स्क्रिप्टिंग कोड अन्य महत्वपूर्ण उपयोग उपस्थित सॉफ़्टवेयर को सुरक्षित रूप से अपडेट और पैच प्रदान करना है।<ref>{{Cite web|url=https://msdn.microsoft.com/en-us/library/windows/desktop/aa368289(v=vs.85).aspx|title=Digital Signatures and Windows Installer}}</ref> [[माइक्रोसॉफ़्ट विंडोज़]], {{nowrap|[[मैक ओएस एक्स]]}}, रिसीविंग ऑपरेटिंग सिस्टम को यह वेरीफाई करने की अनुमति देता है कि अपडेट लेजिमेंट है, भले ही अपडेट थर्ड पार्टीज या फिजिकल मीडिया (डिस्क) द्वारा डेलिवर्ड किया गया हो।


सॉफ़्टवेयर को सर्वप्रथम रन करने पर (कंप्यूटिंग) पर सॉफ़्टवेयर को प्रमाणित करने के लिए विंडोज़ और मैक ओएस एक्स साइनिंग के इस रूप का उपयोग लिनक्स पर उस प्लेटफ़ॉर्म की डीसेंट्रलाइज्ड नेचर के कारण नहीं किया जाता है, [[ पैकेज प्रबंधक |पैकेज मेनेजर]] सभी प्रकार के सॉफ़्टवेयर (केवल अपडेट और पैच नहीं) के लिए डिस्ट्रीब्यूशन का प्रमुख मेथड है, साथ ही [[ओपन-सोर्स मॉडल]] डायरेक्ट इंस्पेक्शन की अनुमति देता है यदि डिजायर हो तो सोर्स कोड का [[डेबियन]]-बेस्ड लिनक्स डिस्ट्रीब्यूशनस (दूसरों के मध्य) पब्लिक की क्रिप्टोग्राफी का उपयोग करके डाउनलोड किए गए पैकेजों को वैलिड करते हैं।<ref>{{Cite web|url=https://wiki.debian.org/SecureApt|title=SecureApt - Debian Wiki}}</ref>


===प्रमाणपत्र प्राधिकारी (सीए) का उपयोग करके विश्वसनीय पहचान===
'''सर्टिफिकेट आइडेंटिफिकेशन (सीए) का उपयोग करके ट्रस्टड आइडेंटिफिकेशन'''
कोड हस्ताक्षर को प्रमाणित करने के लिए उपयोग की जाने वाली [[सार्वजनिक कुंजी]] को विश्वसनीय रूट अथॉरिटी सीए में वापस खोजा जाना चाहिए, अधिमानतः एक सुरक्षित सार्वजनिक कुंजी इंफ्रास्ट्रक्चर (पीकेआई) का उपयोग करके। यह सुनिश्चित नहीं करता है कि कोड पर ही भरोसा किया जा सकता है, केवल यह कि यह बताए गए स्रोत से आता है (या अधिक स्पष्ट रूप से, किसी विशेष निजी कुंजी से)।<ref>https://casecurity.org/wp-content/uploads/2013/10/CASC-Code-Signing.pdf {{Bare URL PDF|date=March 2022}}</ref> एक सीए एक रूट ट्रस्ट स्तर प्रदान करता है और प्रॉक्सी द्वारा दूसरों को ट्रस्ट सौंपने में सक्षम होता है। यदि कोई उपयोगकर्ता किसी सीए पर भरोसा करता है, तो उपयोगकर्ता संभवतः उस सीए या उसके किसी प्रॉक्सी द्वारा उत्पन्न कुंजी के साथ हस्ताक्षरित कोड की वैधता पर भरोसा कर सकता है। कई ऑपरेटिंग सिस्टम और फ्रेमवर्क में एक या अधिक प्रमाणन प्राधिकरणों के लिए अंतर्निहित विश्वास होता है। बड़े संगठनों के लिए संगठन के आंतरिक निजी सीए को लागू करना भी आम बात है, जो सार्वजनिक सीए के समान सुविधाएँ प्रदान करता है, लेकिन इस पर केवल संगठन के भीतर ही भरोसा किया जाता है।


===[[विस्तारित सत्यापन]] (ईवी) कोड पर हस्ताक्षर===
कोड साइनिंग को ऑथेंटिकेट करने के लिए उपयोग की जाने वाली [[सार्वजनिक कुंजी|पब्लिक की]] को ट्रस्टड रूट अथॉरिटी सीए में बेक ट्रेसएबल किया जाना चाहिए, प्रेफ़ेरबली सिक्योर पब्लिक की इंफ्रास्ट्रक्चर (पीकेआई) का उपयोग किया जाता है। यह सुनिश्चित नहीं करता है कि कोड पर ही ट्रस्टड किया जा सकता है, केवल यह कि यह बताए गए सोर्स से आता है (या अधिक स्पष्ट रूप से, किसी विशेष प्राइवेट की से)।<ref>https://casecurity.org/wp-content/uploads/2013/10/CASC-Code-Signing.pdf {{Bare URL PDF|date=March 2022}}</ref> सीए रूट ट्रस्ट लेवल प्रदान करता है और प्रॉक्सी द्वारा दूसरों को ट्रस्ट प्रदान करने में सक्षम होता है। यदि कोई यूजर किसी सीए पर ट्रस्टड करता है, तो यूजर संभवतः उस सीए या उसके किसी प्रॉक्सी द्वारा उत्पन्न की के साथ साइनिंग कोड की लेजिमेंट पर ट्रस्ट कर सकता है। कई ऑपरेटिंग सिस्टम और फ्रेमवर्क में एक या अधिक सर्टिफिकेशन अथॉरिटीज के लिए बिल्ट-इन ट्रस्टड होता है। बड़े आर्गेनाइजेशनस के लिए आर्गेनाइजेशन के इम्प्लेमेंट प्राइवेट सीए को प्रारम्भ करना भी सरल है, जो पब्लिक सीए के समान फीचरस प्रदान करता है, किंतु इस पर केवल आर्गेनाइजेशन के इंटरनल ही ट्रस्टड किया जाता है।


विस्तारित सत्यापन (ईवी) कोड हस्ताक्षर प्रमाणपत्र अतिरिक्त सत्यापन और तकनीकी आवश्यकताओं के अधीन हैं। ये दिशानिर्देश सीए/बी फोरम की बेसलाइन आवश्यकताओं और विस्तारित सत्यापन दिशानिर्देशों पर आधारित हैं। ईवी के लिए विशिष्ट सत्यापन आवश्यकताओं के अलावा, ईवी कोड हस्ताक्षर दिशानिर्देश यह निर्धारित करते हैं कि सब्सक्राइबर की निजी कुंजी एक क्रिप्टो मॉड्यूल में उत्पन्न, संग्रहीत और उपयोग की जाती है जो FIPS 140-2 स्तर 2 की आवश्यकताओं को पूरा करती है या उससे अधिक है।<ref>{{cite web |title=विस्तारित सत्यापन कोड हस्ताक्षर प्रमाण पत्र जारी करने और प्रबंधन के लिए दिशानिर्देश|url=https://cabforum.org/wp-content/uploads/EV-Code-Signing-v.1.4.pdf |publisher=CA/Browser Forum |access-date=4 December 2019}}</ref>
===[[विस्तारित सत्यापन|एक्सटेंडेड वेलिडेशन]] (ईवी) कोड पर साइनिंग===
कुछ एप्लिकेशन, जैसे कि विंडोज 10 कर्नेल-मोड ड्राइवर पर हस्ताक्षर करने के लिए ईवी कोड हस्ताक्षर प्रमाणपत्र की आवश्यकता होती है।<ref>{{cite web |title=ड्राइवर हस्ताक्षर नीति|url=https://docs.microsoft.com/en-us/windows-hardware/drivers/install/kernel-mode-code-signing-policy--windows-vista-and-later- |publisher=Microsoft |access-date=9 December 2019}}</ref> इसके अतिरिक्त, माइक्रोसॉफ्ट के आईईब्लॉग में कहा गया है कि ईवी कोड हस्ताक्षर प्रमाणपत्र द्वारा हस्ताक्षरित विंडोज प्रोग्राम तुरंत प्रतिष्ठा स्थापित कर सकते हैं
[[ कुशल स्क्रीन ]] प्रतिष्ठा सेवाओं के साथ, भले ही उसके लिए कोई पूर्व प्रतिष्ठा मौजूद न हो
फ़ाइल या प्रकाशक.<ref>{{cite web |title=माइक्रोसॉफ्ट स्मार्टस्क्रीन और विस्तारित सत्यापन (ईवी) कोड हस्ताक्षर प्रमाणपत्र|url=https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/ |publisher=Microsoft |access-date=9 December 2019}}</ref>


एक्सटेंडेड वेलिडेशन (ईवी) कोड साइनिंग सर्टिफिकेट्स अतिरिक्त वेलिडेशन और टेक्निकल आवश्यकताओं के अधीन हैं। ये दिशानिर्देश सीए/बी फोरम की बेसलाइन आवश्यकताओं और एक्सटेंडेड वेलिडेशन गाइडलाइन्स पर आधारित हैं। ईवी के लिए स्पेसिफिक वेलिडेशन आवश्यकताओं के अतिरिक्त, ईवी कोड साइनिंग दिशानिर्देश यह निर्धारित करते हैं कि सब्सक्राइबर की प्राइवेट की क्रिप्टो मॉड्यूल में उत्पन्न, स्टोर और उपयोग की जाती है जो एफआईपीएस 140-2 लेवल 2 की आवश्यकताओं को पूर्ण करती है या उससे अधिक है।<ref>{{cite web |title=विस्तारित सत्यापन कोड हस्ताक्षर प्रमाण पत्र जारी करने और प्रबंधन के लिए दिशानिर्देश|url=https://cabforum.org/wp-content/uploads/EV-Code-Signing-v.1.4.pdf |publisher=CA/Browser Forum |access-date=4 December 2019}}</ref>


====नमूना ईवी कोड हस्ताक्षर प्रमाणपत्र====
कुछ एप्लिकेशन, जैसे कि विंडोज 10 कर्नेल-मोड ड्राइवरों पर साइनिंग करने के लिए ईवी कोड साइनिंग सर्टिफिकेट की आवश्यकता होती है।<ref>{{cite web |title=ड्राइवर हस्ताक्षर नीति|url=https://docs.microsoft.com/en-us/windows-hardware/drivers/install/kernel-mode-code-signing-policy--windows-vista-and-later- |publisher=Microsoft |access-date=9 December 2019}}</ref> इसके अतिरिक्त, माइक्रोसॉफ्ट के आईईब्लॉग में कहा गया है कि ईवी कोड साइनिंग सर्टिफिकेट द्वारा साइनिंग इम्मेडिएटली रेपुटेशन स्थापित कर सकते हैं, भले ही उस फ़ाइल या पब्लिशर के लिए कोई पूर्व रेपुटेशन उपस्तिथ न हो।".<ref>{{cite web |title=माइक्रोसॉफ्ट स्मार्टस्क्रीन और विस्तारित सत्यापन (ईवी) कोड हस्ताक्षर प्रमाणपत्र|url=https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/ |publisher=Microsoft |access-date=9 December 2019}}</ref>


यह सॉफ्टवेयर पर हस्ताक्षर करने के लिए SSL.com द्वारा उपयोग किए जाने वाले डिकोडेड ईवी कोड हस्ताक्षर प्रमाणपत्र का एक उदाहरण है। <code>SSL.com EV Code Signing Intermediate CA RSA R3</code> इसे जारीकर्ता के सामान्य नाम के रूप में दिखाया गया है, जो इसे ईवी कोड हस्ताक्षर प्रमाणपत्र के रूप में पहचानता है। प्रमाणपत्र का <code>Subject</code> फ़ील्ड एसएसएल कॉर्प को एक संगठन के रूप में वर्णित करता है। <code>Code Signing</code> एकमात्र X509v3 विस्तारित कुंजी उपयोग के रूप में दिखाया गया है।
'''सैंपल ईवी कोड साइनिंग सर्टिफिकेट'''
<पूर्व>
 
प्रमाणपत्र:
यह सॉफ्टवेयर पर साइनिंग करने के लिए SSL.com द्वारा उपयोग किए जाने वाले डिकोडेड ईवी कोड साइनिंग सर्टिफिकेट का उदाहरण है। <code>SSL.com EV Code Signing Intermediate CA RSA R3</code> को इसे इस्सुएर के कॉमन नाम के रूप में दिखाया गया है, जो इसे ईवी कोड साइनिंग सर्टिफिकेट के रूप में इडेन्टिफ्यिंग है। सर्टिफिकेट का <code>Subject</code> फ़ील्ड एसएसएल कॉर्प को आर्गेनाइजेशन के रूप में वर्णित करता है। <code>Code Signing</code> एकमात्र X509v3 एक्सटेंडेड की उपयोग के रूप में दिखाया गया है।
     डेटा:
     Certificate:
        संस्करण: 3 (0x2)
      Data: 3 (0x2)
        क्रम संख्या:
      Serial Number:
             59:4e:2d:88:5a:2c:b0:1a:5e:d6:4c:7b:df:35:59:7d
             59:4e:2d:88:5a:2c:b0:1a:5e:d6:4c:7b:df:35:59:7d
     हस्ताक्षर एल्गोरिथ्म: sha256WithRSAएन्क्रिप्शन
     Signature Algorithm: sha256WithRSAEncryption
         जारीकर्ता:
         Issuer:
             सामान्य नाम = SSL.com EV कोड साइनिंग इंटरमीडिएट CA RSA R3
             commonName          = SSL.com EV Code Signing Intermediate CA RSA R3
             संगठन का नाम = एसएसएल कॉर्प
             organizationName    = SSL Corp
             इलाके का नाम = ह्यूस्टन
             localityName        = Houston
             stateOrProvinceName = टेक्सास
             stateOrProvinceName = Texas
             देश का नाम = यूएस
             countryName          = US
         वैधता
         Validity
             इससे पहले नहीं: अगस्त 30 20:29:13 2019 GMT
             Not Before: Aug 30 20:29:13 2019 GMT
             इसके बाद नहीं: 12 नवंबर 20:29:13 2022 GMT
             Not After : 12 Nov 12 20:29:13 2022 GMT
         विषय:
         Subject:
             1.3.6.1.4.1.311.60.2.1.3 = यूएस
             1.3.6.1.4.1.311.60.2.1.3 = US
             1.3.6.1.4.1.311.60.2.1.2 = नेवादा
             1.3.6.1.4.1.311.60.2.1.2 = Nevada
             सड़क का पता = 3100 रिचमंड एवेन्यू स्टी 503
            streetAddress             = 3100 Richmond Ave Ste 503
            व्यवसायश्रेणी = निजी संगठन
            businessCategory          = Private Organization
            पोस्टलकोड = 77098
            postalCode                = 77098
            सामान्य नाम = एसएसएल कॉर्प
            commonName                = SSL Corp
            क्रम संख्या = एनवी20081614243
            serialNumber              = NV20081614243
            संगठन का नाम = एसएसएल कॉर्प
            organizationName          = SSL Corp
            इलाके का नाम = ह्यूस्टन
            localityName              = Houston
            stateOrProvinceName = टेक्सास
            stateOrProvinceName       = Texas
            देश का नाम = यूएस
            countryName              = US
        विषय सार्वजनिक कुंजी जानकारी:
        Subject Public Key Info:
             सार्वजनिक कुंजी एल्गोरिथम: rsaएन्क्रिप्शन
             Public Key Algorithm: rsaEncryption
                 सार्वजनिक कुंजी: (2048 बिट)
                 Public-Key: (2048 bit)
                 मापांक:
                 Modulus:
                     00:c3:e9:ae:be:d7:a2:6f:2f:24...
                     00:c3:e9:ae:be:d7:a2:6f:2f:24...
                 प्रतिपादक: 65537 (0x10001)
                 Exponent: 65537 (0x10001)
         X509v3 एक्सटेंशन:
         X509v3 extensions:
             X509v3 प्राधिकरण कुंजी पहचानकर्ता:
             X509v3 Authority Key Identifier:  
                 keyid:36:BD:49:FF:31:2C:EB:AF:6A:40:FE:99:C0:16:ED:BA:FC:48:DD:5F
                 keyid:36:BD:49:FF:31:2C:EB:AF:6A:40:FE:99:C0:16:ED:BA:FC:48:DD:5F
                  
                  
             प्राधिकरण सूचना पहुंच:
             Authority Information Access:  
                 सीए जारीकर्ता - यूआरआई:http://www.ssl.com/repository/SSLcom-SubCA-EV-CodeSigning-RSA-4096-R3.crt
                 CA Issuers - URI:http://www.ssl.com/repository/SSLcom-SubCA-EV-CodeSigning-RSA-4096-R3.crt
                 ओसीएसपी - यूआरआई:http://ocsps.ssl.com
                 OCSP - URI::http://ocsps.ssl.com
                  
                  
             X509v3 प्रमाणपत्र नीतियाँ:
             X509v3 Certificate Policies:  
                 नीति: 2.23.140.1.3
                 Policy: 2.23.140.1.3
                 नीति: 1.2.616.1.113527.2.5.1.7
                 Policy: 1.2.616.1.113527.2.5.1.7
                 नीति: 1.3.6.1.4.1.38064.1.3.3.2
                 Policy: 1.3.6.1.4.1.38064.1.3.3.2
                   सीपीएस: https://www.ssl.com/repository
                   CPS: https://www.ssl.com/repository
                    
                    
             X509v3 विस्तारित कुंजी उपयोग:
             X509v3 Extended Key Usage:  
                 कोड पर हस्ताक्षर
                 Code Signing
             X509v3 CRL वितरण बिंदु:
             X509v3 CRL Distribution Points:  
              
              
                 पूरा नाम:
                 Full Name:
                   यूआरआई:http://crls.ssl.com/SSLcom-SubCA-EV-CodeSigning-RSA-4096-R3.crl
                   URI:http://crls.ssl.com/SSLcom-SubCA-EV-CodeSigning-RSA-4096-R3.crl
                    
                    
             X509v3 विषय कुंजी पहचानकर्ता:
             X509v3 Subject Key Identifier:  
                 EC:6A:64:06:26:A7:7A:69:E8:CC:06:D5:6F:FA:E1:C2:9A:29:79:DE
                 EC:6A:64:06:26:A7:7A:69:E8:CC:06:D5:6F:FA:E1:C2:9A:29:79:DE
             X509v3 कुंजी उपयोग: महत्वपूर्ण
             X509v3 Key Usage: critical
                 अंगुली का हस्ताक्षर
                 Digital Signature
    हस्ताक्षर एल्गोरिथ्म: sha256WithRSAएन्क्रिप्शन
    Signature Algorithm: sha256WithRSAEncryption
         17:d7:a1:26:58:31:14:2बी:9एफ:3बी...
         17:d7:a1:26:58:31:14:2b:9f:3b ...
</पूर्व>
===सीए का अल्टरनेटिव  ===
दूसरा मॉडल प्रथम उपयोग मॉडल पर ट्रस्ट है, जिसमें डेवलपर्स अपनी सेल्फ-जनरेट की को सेलेक्ट कर सकते हैं। इस सिनेरियो में, यूजर को सरलता सर्वप्रथम ऑब्जेक्ट को वेरीफाई करने के लिए सीधे डेवलपर से पब्लिक की प्राप्त करनी होगी। कई कोड साइनिंग सिस्टम्स पब्लिक की को साइनिंग के इंटरनल स्टोर करेंगी। कुछ सॉफ्टवेयर फ्रेमवर्क और ओएस जो एक्सेक्यूटिंग करने से पहले कोड के साइनिंग को चेक करते हैं, आपको पहले रन के पश्चात उस पॉइंट से उस डेवलपर पर ट्रस्ट करने का आप्शन सेलेक्ट करने' की अनुमति देंगे। एप्लिकेशन डेवलपर इंस्टॉलर के साथ पब्लिक की सम्मिलित करके सिमिलर सिस्टम प्रदान कर सकता है। की का उपयोग यह सुनिश्चित करने के लिए किया जा सकता है कि किसी भी सबसेकेंट ऑब्जेक्ट को रन करने की आवश्यकता है, जैसे अपग्रेड, प्लगइन्स, या अन्य एप्लिकेशन, सभी उसी डेवलपर से आने के रूप में वेरीफाई हैं।


===सीए का विकल्प===
'''टाइम-स्टैम्पिंग'''
दूसरा मॉडल प्रथम उपयोग मॉडल पर भरोसा है, जिसमें डेवलपर्स अपनी स्वयं-निर्मित कुंजी प्रदान करना चुन सकते हैं। इस परिदृश्य में, उपयोगकर्ता को आम तौर पर पहली बार ऑब्जेक्ट को सत्यापित करने के लिए सीधे डेवलपर से सार्वजनिक कुंजी प्राप्त करनी होगी। कई कोड हस्ताक्षर प्रणालियाँ सार्वजनिक कुंजी को हस्ताक्षर के अंदर संग्रहीत करेंगी। कुछ सॉफ्टवेयर फ्रेमवर्क और ओएस जो निष्पादित करने से पहले कोड के हस्ताक्षर की जांच करते हैं, आपको पहले रन के बाद उस बिंदु से उस डेवलपर पर भरोसा करने का विकल्प चुनने की अनुमति देंगे। एक एप्लिकेशन डेवलपर इंस्टॉलर के साथ सार्वजनिक कुंजी शामिल करके एक समान प्रणाली प्रदान कर सकता है। कुंजी का उपयोग यह सुनिश्चित करने के लिए किया जा सकता है कि किसी भी आगामी ऑब्जेक्ट को चलाने की आवश्यकता है, जैसे अपग्रेड, प्लगइन्स, या अन्य एप्लिकेशन, सभी उसी डेवलपर से आने के रूप में सत्यापित हैं। <!-- TODO: find where Mac OS X 10.5 and 10.6 used this before Apple introduced Gatekeeper -->


टाइम-स्टैम्पिंग को ट्रस्ट वार्निंग से बचने के लिए डिज़ाइन किया गया था जो कि एक्सपयार्ड सर्टिफिकेट के केस में दिखाई देगी। वास्तव में, टाइम-स्टैम्पिंग किसी सर्टिफिकेट की वैलिडिटी पीरियड से परे कोड ट्रस्ट को एक्सटेंडेड करती है।<ref name=morton>{{cite web|last=Morton|first=Bruce|title=कोड पर हस्ताक्षर|url=https://casecurity.org/wp-content/uploads/2013/10/CASC-Code-Signing.pdf|publisher=CASC|access-date=21 February 2014}}</ref>


===समय-स्टैम्पिंग===
ऐसी स्थिति में जब किसी कोम्प्रोमाईज़ड के कारण सर्टिफिकेट को रिवोकड करना होता है, तो कम्प्रोमिसिंग इवेंट स्पेसिफिक डेट और टाइम रिवोकेशन रिकॉर्ड का भाग बन जाएगा। इस केस में, टाइम-स्टैम्पिंग यह स्थापित करने में सहायता करती है कि कोड पर साइनिंग सर्टिफिकेट से कोम्प्रोमाईज़ड होने से पहले या पश्चात में किया गया था।<ref name="morton" />
टाइम-स्टैम्पिंग को विश्वास चेतावनी से बचने के लिए डिज़ाइन किया गया था जो कि समाप्त प्रमाणपत्र के मामले में दिखाई देगी। वास्तव में, टाइम-स्टैम्पिंग किसी प्रमाणपत्र की वैधता अवधि से परे कोड ट्रस्ट को बढ़ाती है।<ref name=morton>{{cite web|last=Morton|first=Bruce|title=कोड पर हस्ताक्षर|url=https://casecurity.org/wp-content/uploads/2013/10/CASC-Code-Signing.pdf|publisher=CASC|access-date=21 February 2014}}</ref> ऐसी स्थिति में जब किसी समझौते के कारण प्रमाणपत्र को रद्द करना पड़ता है, तो समझौते की घटना की एक विशिष्ट तिथि और समय रद्दीकरण रिकॉर्ड का हिस्सा बन जाएगा। इस मामले में, टाइम-स्टैम्पिंग यह स्थापित करने में मदद करती है कि कोड पर हस्ताक्षर प्रमाणपत्र से समझौता होने से पहले या बाद में किया गया था।<ref name=morton/>


'''[[Xcode|एक्सकोड]] में कोड साइनिंग'''


=== [[Xcode]] में कोड साइनिंग ===
डेवलपर्स को किसी भी रियल डिवाइस पर रन करने से पहले और [[ऐप स्टोर (आईओएस)]] पर अपलोड करने से पहले अपने आईओएस और टीवीओएस ऐप पर साइनिंग करने की आवश्यकता होती है। यह प्रोव करने के लिए आवश्यक है कि डेवलपर के पास वैलिड एप्पल डेवलपर आईडी है। किसी एप्लिकेशन को वैलिड प्रोफ़ाइल या सर्टिफिकेट की आवश्यकता होती है जिससे वह डिवाइस पर रन कर सके।
डेवलपर्स को किसी भी वास्तविक डिवाइस पर