使用数字签名签署强名称程序集是不好的做法吗？

Question

我很好奇,通过谷歌研究,我一直在学习数字签名和强烈命名的程序集.如果您真的努力,似乎可以使用数字签名来签署强名称的程序集.

我推测,通过这种做法,可以通过这种方式使用它来规避数字签名的目的.

微软说:

"强名称本身并不意味着一种信任程度,例如通过数字签名和支持证书提供的信任."
- http://msdn.microsoft.com/en-us/library/wd40t7ad%28v=vs.110%29.aspx

我是否正确地猜测以这种方式使用数字签名实际上是一种不好的做法,这可能会造成安全漏洞并且绝对没有用处？或者甚至可能吗？使用数字签名作为强名称可能或更好然后什么都不做？除了正确使用数字签名之外,它是否提供了额外的安全性.

Answer 1

使用数字签名签署强名称程序集是不好的做法吗？

不,这是一个非常好的做法.

如果您真的努力,似乎可以使用数字签名来签署强名称的程序集.

这有点棘手,因为强大的命名和数字签名都会修改程序集.程序集必须首先强名,然后签名.

我推测,通过这种做法可以通过这种方式使用它来规避数字签名的目的,因为强烈命名的程序集可以被黑客攻击

好的,所以你猜测有攻击.我猜测没有.说明漏洞和建议的攻击.

(至少有些帖子说过).

你打算让我们猜猜哪个帖子这么说了吗？

"强名称本身并不意味着一种信任程度,例如通过数字签名和支持证书提供的信任."

那是对的.强名称和数字证书类似,但它们解决了不同的问题.强名称解决了装配问题的识别问题.签名解决了信任链问题.

我已经看到过互联网海报的例子,他们试图正确地认为他们正在保护自己的软件.

无论是强命名还是证书签名都不能保护软件!安全系统的目的不是保护软件,而是保护用户.我们没有驾驶执照来保证机动车辆部门免受忍者袭击.我们有驾驶执照,证明驾照的持有人确实是他们所说的并且被允许驾驶的人.任何认为强有力的命名保护软件的人都非常非常困惑.

我是否正确地猜测以这种方式使用数字签名实际上是一种不好的做法,这可能会造成安全漏洞并且绝对没有用处？

不,你错了.

跨越溪流是好事还是坏事(请原谅幽默.)？

为什么这会是一件坏事？我们所拥有的只是你声称存在攻击,并且没有任何证据确实存在攻击.

或者甚至可能吗？

当然有可能.

我所看到的帖子中提到使用两个音乐会(使用数字签名将一个特别强烈命名的组件(不是数字签名)签名)可能或更好然后什么都不做？

您要求我们评论我们尚未阅读的帖子的准确性,而您尚未提供链接.我们应该怎么知道它们是否准确？