15
オープンソースプロジェクトのコンパイル済みアセンブリをGACにインストールするスターターキットを作成して、テンプレート内のアセンブリを参照しやすくしています。彼らはGACに入っているので、署名をする必要があります。オープンソースプロジェクトに厳密な名前のキーファイルを確保する必要はありますか?
キーファイルを保護して保護する必要がありますか、または開いたままにしてファイルをソース管理に含めることはできますか?
A
答えて
11
厳密な名前の署名は、いくつかの目的を持っている(プログラムの改ざんに対する実際の保護のためではない、しかし一般的な誤解をされて) - お使いの場合には、一意の特定のバージョンを識別(および検証)のための強力なキーの使用法は、 GACによって要求される特定のアセンブリです。他のアセンブリでのなりすましを防止している他の使用方法は、この場合は必要ではないようです(私が間違っている場合は修正してください)。この理由から、私は、鍵を開いたままにして(パスワードで保護されていない)、ファイルをソース管理に含めることは完全に容認できると考えています。私が見る限り、あなたは鍵をパスワードで保護することによって、あなたが望んでいないものは止めないでしょう。ただし、セキュリティコンテキストの詳細を提供できる場合は、そのビューを変更する必要があります。
また、一般的に厳密な名前署名を正しく使用する方法の詳細については、this MSDN articleを参照してください。
2
ビルドを簡単にし、人々が自分のキーを作成して使用するのを避けるために、ソース管理に「開発」キーを含めるといいでしょう。ソース管理の鍵は誰もが署名することができるので意味がありません。オープンソースプロジェクトのビルドに署名したい人は、自分が好きな方法で管理できるキーに置き換えることができます。
(誰にも与えられない)安全な鍵で署名されたダウンロード用のビルドを提供することもできますが、信頼できるバイナリを使いたい人には便利です。あなたは信頼できる? :)
関連する問題
- 1. オープンソースプロジェクトのソース管理に厳密な名前キーを追加するセキュリティ上の問題はありますか?
- 2. 強力な名前のキーファイルをいつパスワードで保護する必要がありますか?
- 3. PFXでの厳密な名前付け
- 4. 厳密な名前のコンテナ名を列挙するCSP
- 5. データベース内の主キーと外部キーの総称名または厳密に型指定された名前を選択する必要がありますか?
- 6. プログラムで厳密な名前の.NETアセンブリを作成する方法はありますか。
- 7. "厳密に"安全なライブサイトはありますか?
- 8. AS3ライブラリは厳密モードではなく標準モードでコンパイルする必要がありますか?
- 9. 私のアセンブリの厳密な名前はどのように確認できますか?
- 10. 「マークアップは厳密にする必要があります」とはどういう意味ですか?
- 11. 厳密にバージョン管理されたWCFサービスネームスペースは、契約と一意である必要がありますか?
- 12. al.exeを使用して厳密な名前のアセンブリに署名するときの「モジュール名」は何ですか?
- 13. 厳密な基準:参照のみで変数を割り当てる必要があります。5.4
- 14. AdMobパブリッシャーIDの秘密を保持する必要がありますか?
- 15. VBでのASP.NET MVCでのELMAHの使用:コンパイル:Elmahには厳密な名前がありません
- 16. Javascriptを使った名前空間の厳密なモード
- 17. FxCopルールを修正しました。列挙型を厳密に型指定する必要があります
- 18. SSISで厳密な名前のないアセンブリを使用する方法
- 19. SWITCH opreatorの比較ケースを厳密にする方法はありますか?
- 20. ASP.NET 2.0のbinフォルダー内に厳密に名前付きのアセンブリがあります
- 21. 名前空間の名前は複数形にする必要がありますか?
- 22. uintが厳密に正であるか
- 23. PHPのグローバル関数に名前を付ける必要がありますか?
- 24. asp.net:c#/ javascriptユーザーは送信前に確認する必要があります
- 25. 角度指示に名前を付ける必要がありますか?
- 26. ClickOnceマニフェストに署名する必要はありますか?
- 27. アセンブリのどの部分が厳密な名前の署名を検証するか
- 28. APIを保護する必要はありますか?
- 29. Right_aws ruby gem:AWSアクセスキーと秘密鍵はどこに保存する必要がありますか?
- 30. XMLスキーマにはどのような名前空間を使用する必要がありますか?
アセンブリを改ざんすることに対する保護についての誤解を詳しく説明できますか?これは私には正しいとは思われません(http://stackoverflow.com/questions/369248/can-strong-naming-an-assembly-be-used-to-verify-the-assembly-author/369477#369477を参照)。多分私は何かを逃している?しかし、強力な名前だけでは、(Authenticodeのような証明機構が必要な)権限を検証することは明らかに不可能です。 –
@divo:正確ではないものは何ですか?強力なキー署名の問題は、公開鍵のソースを検証できないため、別の作成者が再生成し、assmeblyに同意できることです(改ざんされる可能性があります)。リンクされた答えが私の意見と一致しないと思うなら(私はそれがないと確信しています)、それを注意深く読み直してみてください(Mehrdadの答えと一緒にも良いです)。ここには、決して分かりにくい微妙なものがいくつかあります。 – Noldorin