㈠ 代码签名中的时间戳有什么用
代码签名证书的有效日期是1~3年,为了避免代码签名证书到期后需要重签软件和重新发布,一般会有一个免费时间戳的服务,这样当您对代码签名时,代码产生的哈希值将发送给CA机构时间戳服务器进行时间戳反签名。
所以说,当用户下载签名代码后,IE浏览器将进行鉴别:
(1) 用已经吊销的代码签名证书签名的代码不会被信任;
(2) 用有效的代码签名证书签名的代码,即使代码签名证书已经到被吊销,但代码仍然是可以信任的。这意味着您不用担心代码签名证书吊销后需要重新签名代码。
时间戳服务是代码签名证书免费配套服务,是为了方便软件开发商可以不用担心由于代码签名证书过期而影响在有效期内已经签名的代码的正常的使用,也就是说,在代码签名证书有效期内签名的代码永远不会过期。
㈡ 签名程序代码添加时间戳有什么作用
沃通TSA服务是按照国内外相关时间戳技术与服务标准,根据我国可信时间戳服务体系规划建设的权威第三方公共可信时间戳服务,可广泛应用于知识产权保护、文化创意、电子政务等各类领域。沃通TSA服务由我国唯一法定时间源国家授时中心负责时间溯源、同步和监测,由国家权威机构确保时间源的公信力。
时间戳的作用
客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。
防篡改:一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的“密钥”,加入到Dictionary字典集中,按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照上述规则拼接加密后,与传入过来的加密字符串比较是否相等.
防复用:上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,然后把时间戳timestamp拼在密文里就可以了。