signed software :: instalador - software do sistema e ferramenta de instalação de pacotes (Apple * .pkg)

Question

signed software :: instalador - software do sistema e ferramenta de instalação de pacotes (Apple * .pkg)

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Alguém sabe alguns detalhes sobre o software assinado e /Applications/Utilities/Installer.app ? Não encontrei mais em Wikipedia e no Manual UNIX ( man 8 installer ) .

Aqui está a assinatura válida de iLife 11 Installer.app :

Isso significa que posso ter 100% de certeza de que nada é modificado? Isso significa que posso confiar neste PKG porque ele é assinado pela Apple? Ou eu entendi algo errado?

installer macos

por Ivanov 04.01.2011 / 14:18

2 respostas

Tags installer macos

Produtividade off-line Mac não renderizando CSS

score 0 · Answer 1

O software sendo assinado significa apenas que ele foi verificado por alguém como verisign ou quem quer que seja. O problema com o software assinado, é que, se o seu sistema operacional não verifica contra signatários de programas respeitáveis, ele pode muito bem ser modificado. Mas se alguém como apple ou verisign o assinar e você o obtiver diretamente de um bom vendedor, você pode ter certeza de que ele não será modificado. Algo como o iLife não seria liberado em um mac se fosse adulterado.

Em essência, o software sendo assinado é como quando você compra algo com uma garantia. Qualquer um pode garantir algo, mas nem todos vão cumprir essa garantia.

score 0 · Answer 2

Quando a Apple distribui software e atualizações, ele assina o pacote para garantir que nada tenha sido modificado, da mesma forma que as assinaturas de PGP em e-mails. O certificado Autoridade de Certificação de Atualização de Software da Apple é instalado com o sistema operacional, e você pode visualizá-lo em Keychain Access.app .

Essencialmente, essa assinatura garante que o software foi distribuído e verificado pela Apple e que não foi adulterado nem alterado. Assim como um e-mail PGP, se você alterar o conteúdo da mensagem, a assinatura não será igual. Já vi pessoas que tentaram baixar "pré-cracked" ou software pirateado (para iLife, iWork etc.) e seu instalador não foi assinado; a pessoa que modificou o pacote removeu a assinatura do pacote e a redistribuiu (ou apenas criou um instalador com aparência muito semelhante).

Se você estiver recebendo software por meio da Atualização de software ou fazendo o download de patches / atualizações oficiais de apple.com , o software deverá ser assinado pela Autoridade de Certificação de Atualização de Software da Apple . Se não for, não é genuíno (o rigor da Apple é bom).

Editar : O certificado raiz é a autoridade de certificação raiz da Apple. O certificado de distribuição de software é aprovado (sem a certeza da terminologia) pela autoridade de certificação raiz da Apple.