安卓應(yīng)用軟件代碼簽名的風(fēng)險(xiǎn)挑戰(zhàn)與應(yīng)對措施

近年來，隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，移動(dòng)應(yīng)用軟件已經(jīng)滲透到人們生產(chǎn)生活的方方面面。移動(dòng)設(shè)備相比個(gè)人電腦承載了更多的個(gè)人信息和隱私數(shù)據(jù)。移動(dòng)應(yīng)用軟件從移動(dòng)設(shè)備上獲取個(gè)人信息后，再結(jié)合大數(shù)據(jù)和算法給用戶做精準(zhǔn)畫像和推薦，雖然極大地提升了移動(dòng)互聯(lián)網(wǎng)的服務(wù)質(zhì)量，但隨之而來的軟件安全和合規(guī)問題也逐步引起了人們的關(guān)注。以安卓生態(tài)為例，詐騙、仿冒、破解、違規(guī)收集、違規(guī)使用個(gè)人信息等侵害用戶權(quán)益的應(yīng)用軟件屢見不鮮，給用戶造成了直接經(jīng)濟(jì)損失和個(gè)人信息泄露。針對這一現(xiàn)狀，在監(jiān)管方面，國家已經(jīng)出臺了一系列的法律法規(guī)標(biāo)準(zhǔn)來要求移動(dòng)應(yīng)用軟件的關(guān)鍵責(zé)任鏈主體落實(shí)相關(guān)責(zé)任和義務(wù)，并取得了一定的社會(huì)成效，但部分企業(yè)服務(wù)行為不規(guī)范、技術(shù)能力欠缺、相關(guān)環(huán)節(jié)責(zé)任落實(shí)不到位等問題仍時(shí)有發(fā)生。在技術(shù)管控方面，谷歌設(shè)計(jì)了應(yīng)用軟件代碼簽名機(jī)制，旨在用于保護(hù)開發(fā)者應(yīng)用軟件的完整性和安全性。然而，由于生態(tài)過于開放，相關(guān)技術(shù)公開透明，因此代碼簽名的安全問題一直是黑灰產(chǎn)關(guān)注的重點(diǎn)，攻擊者通常會(huì)利用一些已知的代碼簽名漏洞實(shí)施網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)各類非法目的，嚴(yán)重影響移動(dòng)互聯(lián)網(wǎng)的健康有序發(fā)展。本文將探討安卓應(yīng)用軟件代碼簽名當(dāng)前面臨的安全挑戰(zhàn)，并提出相關(guān)應(yīng)對措施。1代碼簽名的作用和流程1.1代碼簽名的作用代碼簽名是指利用數(shù)字證書對軟件代碼文件進(jìn)行數(shù)字簽名的一種活動(dòng)。數(shù)字簽名是指使用證書私鑰對代碼文件進(jìn)行加密的過程。在操作系統(tǒng)中，代碼簽名通常用于確保安裝和運(yùn)行的軟件是操作系統(tǒng)所信任的。代碼簽名還可以描述為將軟件與一個(gè)數(shù)字證書綁定，以確保該軟件的身份可信和代碼完整。只有當(dāng)數(shù)字證書被操作系統(tǒng)信任時(shí)，操作系統(tǒng)才會(huì)允許該軟件安裝和運(yùn)行。通過使用代碼簽名，可以提高操作系統(tǒng)的安全性和穩(wěn)定性，防止惡意軟件和不受信任軟件程序的安裝和運(yùn)行。1.2代碼簽名的流程代碼簽名的實(shí)現(xiàn)流程包括以下5個(gè)步驟。1.2.1生成數(shù)字證書代碼簽名是為軟件開發(fā)者設(shè)計(jì)的。首先，開發(fā)者需要向操作系統(tǒng)信任的數(shù)字證書機(jī)構(gòu)申請代碼簽名證書；其次，對于部分不驗(yàn)證數(shù)字證書的信任關(guān)系的操作系統(tǒng)（如安卓操作系統(tǒng)），安卓開發(fā)者可自行生成數(shù)字證書。數(shù)字證書包含開發(fā)者的公鑰和身份信息，而公鑰對應(yīng)的私鑰由開發(fā)者自行保存。1.2.2生成哈希值從原理上來看，代碼簽名的對象應(yīng)該是代碼文件或整個(gè)程序文件。然而，數(shù)字簽名采用非對稱加解密技術(shù)，而非對稱加解密技術(shù)的一大缺點(diǎn)便是對于大容量文件的執(zhí)行效率不高。據(jù)實(shí)驗(yàn)測算，1GB（1024MB）的文件加密需要1分鐘，但是解密卻需要數(shù)十個(gè)小時(shí)，而目前應(yīng)用軟件大小從幾十MB到幾千MB不等。因此，為了提高簽名效率，實(shí)踐中通常先將軟件進(jìn)行哈希計(jì)算，以得到一個(gè)占用內(nèi)存極少的哈希值，再對哈希值進(jìn)行簽名。以SHA256哈希算法為例，任意文件大小的哈希值只有64個(gè)字節(jié)，從而顯著降低了計(jì)算需求。更重要的是，對哈希簽名和直接對軟件簽名起到的效果是一樣的。1.2.3使用私鑰進(jìn)行簽名開發(fā)者使用其私鑰對哈希值進(jìn)行簽名，生成數(shù)字簽名，即簽名值。私鑰只有其開發(fā)者擁有，因此簽名值只能由開發(fā)者生成。1.2.4打包成安裝包打包機(jī)制通常由操作系統(tǒng)廠商定義，所以操作系統(tǒng)廠商通常會(huì)給開發(fā)者提供對應(yīng)的打包工具。在實(shí)踐中，不同操作系統(tǒng)的打包方式各不相同，個(gè)別操作系統(tǒng)不同版本之間的打包方式也不盡相同，但基本思路都是將數(shù)字證書和簽名值隨程序文件打包在一起，生成一個(gè)可以直接在操作系統(tǒng)中運(yùn)行的安裝包。1.2.5驗(yàn)證簽名在執(zhí)行安裝之前，操作系統(tǒng)首先需要解開安裝包，按照自定義的打包方式逆向進(jìn)行解包得到源程序文件（zip）、數(shù)字證書公鑰和簽名值（Signature），再對程序文件進(jìn)行哈希運(yùn)算得到Hash（zip），接著利用數(shù)字證書中的公鑰解密簽名值得到Decrypt（Signature），最后比對Hash（zip）和Decrypt（Signature）。如果二者一致，則證明程序文件未被篡改，反之則證明文件已被篡改。除此之外，還可據(jù)此驗(yàn)證數(shù)字證書的有效性和數(shù)字證書的身份等。2安卓代碼簽名技術(shù)的演進(jìn)安卓操作系統(tǒng)是一種基于Linux內(nèi)核的自由、部分開源的操作系統(tǒng)。2008年9月，谷歌發(fā)布Android1.0版本，截至目前已更新至Android14，其代碼簽名機(jī)制也升級演進(jìn)了4個(gè)版本。2.1V1簽名機(jī)制在Android1.0至Android6.0版本階段，谷歌公司提供的簽名工具是jarsigner，jarsigner是Java軟件開發(fā)工具包（JavaDevelopmentKit，JDK）提供的針對jar包簽名的通用工具，AndroidV1版本簽名流程如圖1所示。圖1AndroidV1版本簽名流程第一步，對每個(gè)代碼文件使用SHA1哈希算法計(jì)算得到哈希值，保存在MANIFEST.MF文件中。第二步，對MANIFEST.MF文件中的每個(gè)哈希值進(jìn)行二級哈希算法（防止哈希碰撞），保存在CERT.SF文件中。第三步，使用私鑰對CERT.SF文件進(jìn)行簽名，將簽名值、數(shù)字證書保存在CERT.RSA文件中。第四步，將MANIFEST.MF、CERT.SF和CERT.RSA這3個(gè)文件保存在APK安裝包的META-INF文件夾中。這種最初的簽名機(jī)制被稱為Signature

SchemeV1，簡稱V1簽名機(jī)制。V1簽名機(jī)制存在兩個(gè)弊端：一是簽名校驗(yàn)效率低，因?yàn)椴捎玫姆椒ㄊ菍γ總€(gè)文件進(jìn)行哈希計(jì)算，APK安裝包內(nèi)代碼文件和資源文件較多，導(dǎo)致驗(yàn)簽時(shí)間較長，影響安裝速度。二是安裝包容易被捆綁其他信息，因?yàn)镸ETA-INF目錄存放簽名和驗(yàn)簽信息，本身對該文件夾不進(jìn)行完整性保護(hù)，所以任何人可以在此文件夾內(nèi)捆綁其他資源文件或直接刪除簽名和驗(yàn)簽信息，影響驗(yàn)證的準(zhǔn)確性。2.2V2簽名機(jī)制從Android7.0（APILevel24）開始，谷歌增加了新簽名方案SignatureSchemeV2。V2簽名機(jī)制的工具是apksigner，apksigner可以對APK壓縮包的整個(gè)文件簽名，V2簽名機(jī)制在原先APK壓縮包中增加了一個(gè)新的簽名塊APK

SigningBlock，存儲了簽名值、哈希值、數(shù)字證書及一些額外屬性等信息，簽名后任何人不能修改安裝包，同時(shí)也提高了簽名驗(yàn)簽的效率。具體前后結(jié)構(gòu)對比如圖2所示。圖2AndroidV2版本簽名前后結(jié)構(gòu)對比V2簽名機(jī)制相較于V1簽名機(jī)制更加安全高效，但只有Android7.0及以上版本才支持驗(yàn)證V2簽名。由于目前市面上仍存在一些版本較低的老機(jī)型，所以安卓開發(fā)者大多采用V1和V2兩種模式相結(jié)合的方式進(jìn)行打包。對于Android7.0及以上版本，在安裝過程中如果發(fā)現(xiàn)有V2簽名塊，則必須執(zhí)行V2簽名驗(yàn)證機(jī)制，不能繞過。2.3V3簽名機(jī)制安卓系統(tǒng)發(fā)布至今已有十多年的歷史了。早期，一些開發(fā)者缺乏數(shù)字證書安全意識，由數(shù)字證書過期或私鑰保管不當(dāng)導(dǎo)致的泄露問題時(shí)有發(fā)生，故更新數(shù)字證書的需求極為迫切。為了保證數(shù)字證書更新不影響已安裝應(yīng)用的正常運(yùn)行，谷歌在Android9.0（APILevel28）中引入了一種新的應(yīng)用程序簽名機(jī)制，稱為APKSignature

SchemeV3。新版V3簽名機(jī)制在V2簽名機(jī)制的基礎(chǔ)上，仍然采用檢查整個(gè)壓縮包的校驗(yàn)方式。不同的是在簽名部分增加了可以添加的新證書塊，在這個(gè)新塊中會(huì)同時(shí)記錄之前的簽名信息以及新的簽名信息，并以密鑰輪換的方案進(jìn)行簽名的替換和升級。這意味著，只要擁有舊簽名證書，就可以通過它在新的APK文件中使用新的簽名證書對應(yīng)用程序進(jìn)行更新，且不影響用戶的正常使用。2.4V4簽名機(jī)制由于安卓終端種類的多樣化，應(yīng)用軟件兼容性問題隨之出現(xiàn)。為了提高應(yīng)用軟件的兼容性，開發(fā)者把各種終端類型資源依賴文件都打包在一起，導(dǎo)致安裝包的體積越來越大。然而，在實(shí)際使用過程中，很多文件是用不到的，因此這不僅影響軟件的安裝速度，還浪費(fèi)用戶的下載流量，更是長期占用終端存儲空間。針對這一問題，谷歌在Android11（APILevel30）中提供了基于增量安裝的簽名方案APKSignature

SchemeV4，增量APK可以先安裝足夠的APK以啟動(dòng)應(yīng)用，同時(shí)檢測終端運(yùn)行環(huán)境，在后臺流式傳輸剩余的必要數(shù)據(jù)。該方案需要具備配套的能力和平臺，適用于大型的應(yīng)用商店。根據(jù)以上不同的簽名機(jī)制可以看出，開發(fā)者在打包APK安裝包時(shí)，可以根據(jù)實(shí)際需要選擇不同的代碼簽名機(jī)制。其中，V4簽名機(jī)制是面向增量安裝需求的，V3簽名機(jī)制是解決證書更新需求的。實(shí)際上，開發(fā)者如果沒有簽名變動(dòng)的需求可以不考慮V3簽名，V2和V1簽名即可滿足現(xiàn)有軟件需求，故目前國內(nèi)大部分開發(fā)者是同時(shí)使用V2和V1簽名。3安卓代碼簽名的安全挑戰(zhàn)前述內(nèi)容表明，安卓移動(dòng)軟件的代碼簽名機(jī)制能夠保護(hù)應(yīng)用程序的完整性，簽名機(jī)制的不斷完善也提升了代碼簽名的安全性，且V3和V4簽名機(jī)制能夠進(jìn)一步從使用層面解決一些實(shí)際的問題。然而，整套簽名機(jī)制在面對唯利是圖的黑灰產(chǎn)、技術(shù)能力參差不齊的開發(fā)者、復(fù)雜多變的應(yīng)用分發(fā)平臺和種類繁多的終端類型時(shí)仍存在一定的安全挑戰(zhàn)。3.1代碼簽名證書算法存在安全風(fēng)險(xiǎn)目前安卓系統(tǒng)對代碼簽名證書的簽名算法密鑰長度要求在1024位及以上，但對代碼簽名證書的摘要算法沒有做要求。為了方便起見，很多開發(fā)者在生成代碼簽名證書時(shí)將證書的有效期設(shè)置為20年以上。隨著信息技術(shù)的高速發(fā)展和密碼技術(shù)的不斷演進(jìn)，十年前流行的算法目前已經(jīng)存在很大的安全風(fēng)險(xiǎn)。以國內(nèi)某頭部應(yīng)用軟件為例，其代碼簽名證書采用的是1024位的RSA簽名算法和SHA1哈希算法，如圖3所示。圖3某應(yīng)用軟件的代碼簽名證書這些算法已經(jīng)被權(quán)威機(jī)構(gòu)認(rèn)為存在安全風(fēng)險(xiǎn)或被企業(yè)宣布已經(jīng)不再使用。例如，2011年2月，國家密碼管理局在發(fā)文中明確指出，1024位RSA算法正在面臨日益嚴(yán)重的安全威脅；2016年1月1日起，微軟Edge和IE11不認(rèn)為使用SHA1證書的網(wǎng)站是安全的，所以不在瀏覽器的地址欄中顯示用來表示安全網(wǎng)站的掛鎖圖標(biāo)；2017年1月1日起，Chrome瀏覽器會(huì)自動(dòng)將使用SHA1簽名的任何SSL證書標(biāo)記為不安全。除了SHA1哈希算法，還有部分APK代碼簽名證書采用的是MD5哈希算法，但MD5算法早在2004年就被山東大學(xué)密碼學(xué)家王小云破解，是比SHA1更不安全的一種算法。3.2代碼簽名證書私鑰易被泄露安卓代碼簽名證書私鑰是整個(gè)代碼簽名機(jī)制安全的關(guān)鍵。如果私鑰泄露，意味著黑客可以使用該私鑰生成惡意應(yīng)用程序并偽裝成原始應(yīng)用程序，進(jìn)而實(shí)施各種攻擊。由于安卓代碼簽名證書是由開發(fā)者自行生成的，而絕大部分開發(fā)者缺少證書管理的相關(guān)經(jīng)驗(yàn)，因此易引發(fā)密鑰泄露或丟失的情況。一是保管證書時(shí)疏忽大意，將證書私鑰存儲在不安全的位置，很容易被他人復(fù)制竊取。二是軟件開發(fā)行業(yè)人員流動(dòng)性較大，隨著研發(fā)人員的離職，證書私鑰也隨之被帶走。三是個(gè)別開發(fā)者為了簡化開發(fā)流程采用云平臺打包的模式，將證書私鑰托管保存在云平臺，這些云平臺的私鑰托管服務(wù)一般缺少密碼安全性評估，所以存在被他人竊取或越權(quán)使用的風(fēng)險(xiǎn)。上述這些行為都給代碼簽名帶來了一定的安全風(fēng)險(xiǎn)。3.3代碼簽名的軟件權(quán)責(zé)認(rèn)定能力缺失安卓代碼簽名雖然是安卓操作系統(tǒng)管控應(yīng)用軟件的一種技術(shù)手段，但安卓系統(tǒng)在驗(yàn)證代碼簽名時(shí)不會(huì)校驗(yàn)代碼簽名證書的頒發(fā)機(jī)構(gòu)，所以絕大部分開發(fā)者都使用自行生成的證書。但是，自己頒發(fā)的證書屬于無效證書或不被信任的證書，這就相當(dāng)于開發(fā)者的代碼簽名證書是未經(jīng)認(rèn)證的、無效的。當(dāng)應(yīng)用軟件發(fā)生假冒侵權(quán)、惡意破解、違法違規(guī)等行為需要進(jìn)行權(quán)責(zé)認(rèn)定時(shí)，根據(jù)代碼簽名證書無法溯源和認(rèn)定真實(shí)的開發(fā)者身份，開發(fā)者也無法自證身份，導(dǎo)致應(yīng)用軟件權(quán)責(zé)不清，從而引發(fā)侵權(quán)糾紛、責(zé)任糾紛等問題。3.4代碼簽名的軟件防篡改能力減弱谷歌代碼簽名工具apksigner.jar提供了代碼重簽的功能，其允許任何人直接將任意APK原有的簽名進(jìn)行替換，即無須經(jīng)過APK開發(fā)者的同意即可修改APK文件，而且針對此類行為也沒有任何校驗(yàn)機(jī)制，給黑灰產(chǎn)留下了較大的操作空間。例如，通過反編譯手段修改APK源代碼或插入惡意代碼再簽名打包，對外宣稱是精簡版、破解版或免費(fèi)版，實(shí)際是利用原應(yīng)用軟件的品牌影響力騙取用戶下載安裝，以達(dá)到竊取用戶隱私或發(fā)布惡意廣告的目的。在實(shí)際開發(fā)過程中，部分安全意識較高的開發(fā)者會(huì)在APK啟動(dòng)程序中增加校驗(yàn)代碼簽名一致性的代碼，如果APK被中間人篡改重簽，應(yīng)用程序?qū)o法正常啟動(dòng)；抑或?qū)Υa進(jìn)行加固，從而提高APK被反編譯的難度。然而，隨著反編譯技術(shù)的不斷提高，黑灰產(chǎn)還是可以通過脫殼技術(shù)對加固后的APK進(jìn)行反編譯，同時(shí)刪除APK中校驗(yàn)代碼簽名的代碼以達(dá)到篡改的目的。3.5代碼簽名證書更新代價(jià)大V3簽名機(jī)制雖然支持代碼簽名數(shù)字證書的更新，但開發(fā)者在實(shí)際操作過程中還是面臨諸多問題。一方面，大部分應(yīng)用商店審核應(yīng)用更新包時(shí)，往往還是基于原安裝包的簽名校驗(yàn)機(jī)制，如果開發(fā)者更新了代碼簽名證書，在發(fā)布更新包時(shí)則需要花費(fèi)更多的時(shí)間和精力向這些應(yīng)用商店進(jìn)行證明代碼簽名證書已經(jīng)更新這一事實(shí)。另一方面，目前市面上還有不少機(jī)型的版本還在Android9.0以下，這些終端在安裝更新包時(shí)，由于無法直接覆蓋安裝，只能通過卸載原應(yīng)用的方式重新安裝，這將導(dǎo)致用戶原有的應(yīng)用數(shù)據(jù)丟失，影響用戶體驗(yàn)。因此不到萬不得已，開發(fā)者不會(huì)輕易對代碼簽名證書進(jìn)行更新。4應(yīng)對措施為應(yīng)對當(dāng)前移動(dòng)應(yīng)用軟件代碼簽名面臨的安全挑戰(zhàn)，我們將從產(chǎn)業(yè)標(biāo)準(zhǔn)、企業(yè)制度、監(jiān)管要求、關(guān)鍵主體責(zé)任、關(guān)鍵主體義務(wù)5個(gè)層面進(jìn)行分析，并提出以下對策建議。4.1推動(dòng)代碼簽名證書相關(guān)標(biāo)準(zhǔn)的制定和應(yīng)用算法是代碼簽名證書的安全基礎(chǔ)，代碼簽名證書的密鑰保管得再好，如果算法不安全，攻擊者還是可以利用算法漏洞計(jì)算出保管的密鑰。代碼簽名用到了密碼領(lǐng)域的相關(guān)技術(shù)，目前大部分開發(fā)者對于網(wǎng)絡(luò)安全有一定的認(rèn)識，但對于密碼領(lǐng)域的相關(guān)技術(shù)較為陌生。信息通信行業(yè)、電信終端產(chǎn)業(yè)的協(xié)會(huì)等相關(guān)組織應(yīng)推動(dòng)行業(yè)制定代碼簽名證書相關(guān)標(biāo)準(zhǔn)。一是聯(lián)合安卓系統(tǒng)廠商、頭部應(yīng)用軟件開發(fā)者和密碼服務(wù)廠商制定安卓應(yīng)用軟件代碼簽名證書相關(guān)標(biāo)準(zhǔn)，明確代碼簽名證書的各項(xiàng)相關(guān)要求，包括但不限于代碼簽名證書的格式、證書有效期、證書唯一標(biāo)識、證書其他屬性、簽名算法、密鑰長度、證書認(rèn)證業(yè)務(wù)規(guī)則和證書策略等。二是在行業(yè)內(nèi)宣貫代碼簽名標(biāo)準(zhǔn)，通過行業(yè)論壇、技術(shù)沙龍、開發(fā)者大會(huì)鼓勵(lì)和引導(dǎo)開發(fā)者執(zhí)行代碼簽名證書標(biāo)準(zhǔn)，選擇或者更新為安全可靠的算法，降低算法安全風(fēng)險(xiǎn)。三是開展標(biāo)準(zhǔn)驗(yàn)證工作，對滿足相關(guān)安全要求的代碼簽名證書進(jìn)行公示，帶動(dòng)整個(gè)行業(yè)落實(shí)標(biāo)準(zhǔn)要求。4.2加強(qiáng)企業(yè)代碼簽名密鑰管理制度建設(shè)代碼簽名證書密鑰是整個(gè)應(yīng)用軟件安全的核心，不少企業(yè)的核心業(yè)務(wù)是通過應(yīng)用軟件開展的，因此應(yīng)用軟件出現(xiàn)安全問題極容易引發(fā)輿情，直接影響公司正常運(yùn)行，甚至導(dǎo)致公司破產(chǎn)倒閉。應(yīng)用軟件企業(yè)務(wù)必重視代碼簽名證書密鑰的安全性，加強(qiáng)密鑰的安全管理，在企業(yè)內(nèi)部制定密鑰管理規(guī)范。一是明確企業(yè)密鑰管理崗位的職責(zé)要求，選擇具有網(wǎng)絡(luò)安全或密碼維護(hù)相關(guān)經(jīng)驗(yàn)的人員擔(dān)任密鑰管理員。對密鑰的生成、使用、更新、備份、恢復(fù)等重要操作采用雙人授權(quán)操作機(jī)制，留存操作日志記錄，禁止對密鑰進(jìn)行復(fù)制，定期進(jìn)行密鑰安全審計(jì)。二是采用具有商用密碼資質(zhì)的產(chǎn)品存儲密鑰，并保障密碼產(chǎn)品的物理安全。加強(qiáng)密鑰的網(wǎng)絡(luò)安全管理，禁止未授權(quán)或通過互聯(lián)網(wǎng)訪問密鑰。三是定期開展密鑰安全性評估，及時(shí)發(fā)現(xiàn)密鑰安全威脅并提出解決方案，對正在使用的不安全算法的代碼簽名證書應(yīng)盡早進(jìn)行證書更新。4.3施行代碼簽名證書第三方認(rèn)證數(shù)字證書是具有密碼屬性的網(wǎng)絡(luò)身份證，在網(wǎng)絡(luò)世界中具有身份識別、數(shù)據(jù)完整性保護(hù)等安全功能。代碼簽名屬于電子簽名的范疇，2005年，我國實(shí)施的《中華人民共和國電子簽名法》第二條明確了電子簽名的定義，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。其中第十六條指出，電子簽名是需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)。2009年，工業(yè)和信息化部令第1號《電子認(rèn)證服務(wù)管理辦法》第十七條提到了電子認(rèn)證服務(wù)的核心，是提供制作、簽發(fā)、管理電子簽名認(rèn)證證書等服務(wù)。從以上法律法規(guī)可以看出，數(shù)字證書只有通過第三方電子認(rèn)證服務(wù)機(jī)構(gòu)簽發(fā)，才有可能具備合法網(wǎng)絡(luò)身份證的屬性，才能徹底解決應(yīng)用軟件權(quán)責(zé)不清等問題。2016年，工業(yè)和信息化部在《移動(dòng)智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》中提出，鼓勵(lì)移動(dòng)智能終端應(yīng)用軟件采用依法設(shè)立的電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字證書進(jìn)行簽名[7]，說明主管部門已經(jīng)認(rèn)識到代碼簽名證書第三方認(rèn)證的必要性。然而，實(shí)行第三方認(rèn)證就意味著要收費(fèi)，強(qiáng)制執(zhí)行顯然不符合國家“放管服”的相關(guān)要求。因此在施行第三方認(rèn)證時(shí)，主管部門可以提供一些具有公益屬性的第三方認(rèn)證機(jī)構(gòu)，免費(fèi)為開發(fā)者簽發(fā)代碼簽名數(shù)字證書。另外，隨著信息技術(shù)的不斷發(fā)展，部分商業(yè)第三方認(rèn)證機(jī)構(gòu)服務(wù)能力不斷提升，現(xiàn)階段簽發(fā)和維護(hù)數(shù)字證書的成本已經(jīng)大幅降低，將來商業(yè)第三方認(rèn)證機(jī)構(gòu)可以通過其他增值服務(wù)進(jìn)行收費(fèi)，免費(fèi)提供數(shù)字證書指日可待。4.4落實(shí)上架、安裝環(huán)節(jié)代碼簽名驗(yàn)證應(yīng)用軟件由開發(fā)者打包成安裝文件進(jìn)行發(fā)布后，安裝文件就不再受開發(fā)者管控，任何組織、個(gè)人都可以對其進(jìn)行分析、修改、破解后再分發(fā)。只要不影響應(yīng)用軟件的安裝和使用，用戶是無法得知應(yīng)用軟件是否被篡改的。因此，應(yīng)用軟件在應(yīng)用商店上架和終端系統(tǒng)安裝這兩個(gè)重要環(huán)節(jié)需要落實(shí)代碼