我想知道在确定文件是否被篡改时,我可以在多大程度上依赖文件上的数字签名(又名 Verisign、Simantec 等的数字证书)。
假设我想要下载一个应用程序版本,该版本不再位于原始开发人员的网站上,而是可在 cnet、oldapps.com 或 filehippo 等第三方网站上找到。我通常会搜索旧的论坛条目,其中有人列出了 MD5 或 SHA1 哈希签名,看看它们是否与我下载的条目上的哈希相匹配。这仅适用于软件广泛传播的真正大型开发人员。
我想知道验证文件的数字签名是否是确保文件来自开发人员并且未被第三方更改的另一种可靠方法?
我要问的是:如果黑客用恶意代码注入已经签名的 DLL 或 EXE,有效地更改了文件的哈希值,是否会破坏数字签名,因为签名嵌入了某种摘要?或者签名完全不受影响?