コードサイニング証明書 ( Codesigning certificate ) とは

コードサイニング証明書を使って、オンラインで配布するソフトやプログラムにコード署名をすることにより、ソフトウェアの開発元・配布元を明確に表示し、コンテンツの完全性を証明することができます。
実店舗から購入できるディスク等で提供されるプログラムと違い、インターネットからダウンロードするプログラムは実際にウイルスやマルウェアを含んでいる例があり、安全性を疑われることも少なくありません。
DigiCertコードサイニング証明書を使ってソフトウェアに電子署名を行えば、悪意のある第三者が署名済みソフトウェアのコードを改ざんしたり、未承認の変更を伴うコードを配布したりすることはできません。

コードの完全性は署名時に設定されたハッシュ値と、ダウンロードされたソフトウェアのハッシュ値とを比較して判断されます（コードダウンロード時のコードサイニング証明書による検証手順＞＞）。ハッシュ値が一致しない場合には、ユーザーにセキュリティ警告が表示されるか、コードのダウンロードに失敗します。

• ハッシュ値とは
• SHA-1、SHA256（SHA-2）等のハッシュ関数を使ってデータから算出される数字のこと。
  元のデータが少しでも異なれば異なるハッシュ値が算出されます。
  そのため、ファイルが改ざんされていないかを確認するために使うことができます。

コードサイニング証明書で署名されていないソフトウェアは改ざんを受けている可能性があるため、インストール時に警告が表示されます

コードサイニング証明書を信頼するかという判定は、証明書発行認証局 (CA) のルート証明書が、ソフトウェアをインストールするPC等のデバイスに「信頼する証明書」として登録されているかどうかで行われます。
DigiCertのルート証明書はほとんどすべてのPC・デバイス・アプリケーションに既に組み込まれていますので、多くの利用者に安心を届けながら、セキュリティの警告を最小限に抑えることができます。
DigiCertコードサイニング証明書は、ソフトウェア利用者の安全性を確保できるだけでなく、ソフトウェアと開発元の信頼性向上に貢献します。

コードサイニング証明書の組み込み手順

1. コードサイニング証明書取得
2. 署名するコードのハッシュ値を生成
3. コードサイニング証明書の秘密鍵でハッシュ値を暗号化 ※これがデジタル署名
4. コード、暗号化されたハッシュ値（デジタル署名）、コードサイニング証明書のパッケージを作成

コードダウンロード時のコードサイニング証明書による検証手順

1. コードサイニング証明書の有効性の確認
2. コードサイニング証明書に含まれる公開鍵の取得
3. コードと暗号化されたハッシュ値（デジタル署名）に分離
4. 暗号化されたハッシュ値（デジタル署名）を公開鍵で復号し証明書に含まれているハッシュ値を取得
5. ダウンロードしたコードのハッシュ値を生成
6. 二つのハッシュ値が一致していればコードは改竄がなく、真正であることが証明される

EVコードサイニング証明書を主力に提供しています

Windowsでのコード署名基準厳格化に備え、DigiCertでは厳密なガイドラインに沿って証明書利用組織を認証するEVコードサイニング証明書を主力に証明書を提供しています。
本サイトでのお取り扱いサービスについての詳細は、以下のページをご確認ください。

• Windows Kernel Mode Driver ※EVのみ対応
• Windows Authenticode
• VBA Scripts for Office
• JAVA JAR ファイル
• Adobe Air
• OS X Apps
• Mozzila