Кто-нибудь знает некоторые подробности о подписанном программном обеспечении и /Applications/Utilities/Installer.app? Я не нашел больше в Википедии и Руководстве по UNIX (man 8 installer).
Вот действительная подпись от iLife 11 Installer.app:
Значит ли это, что я могу быть на 100% уверен, что ничего не изменилось? Это значит, что я могу доверять этой PKG, потому что она подписана Apple? Или я что-то не так понял?
Подписанное программное обеспечение означает, что оно было проверено кем-то вроде Verisign или кем-либо еще. Проблема с подписанным программным обеспечением заключается в том, что если ваша ОС не проверяет достоверность подписчиков программы, ее вполне можно изменить. Но если кто-то вроде apple или verisign подписывает его, и вы получили его напрямую от хорошего продавца, вы можете быть уверены, что он не будет изменен. Что-то вроде iLife не пропустит на Mac, если он был подделан.
По сути, подписываемое программное обеспечение похоже на то, когда вы покупаете что-то с гарантией. Любой может что-то гарантировать, но не все будут соответствовать этой гарантии.
Когда Apple распространяет программное обеспечение и обновления, она подписывает пакет, чтобы гарантировать, что ничего не было изменено, подобно подписи PGP в электронной почте. Корневой сертификат Центра сертификации обновлений программного обеспечения Apple устанавливается вместе с операционной системой, и вы можете просмотреть его в Keychain Access.app .
По сути, эта подпись гарантирует, что программное обеспечение было распространено и проверено Apple, и что оно не было подделано или изменено. Как и в случае электронной почты PGP, если вы измените содержимое сообщения, подпись не будет совпадать. Я видел людей, которые пытались загрузить «предварительно взломанное» или пиратское программное обеспечение (для iLife, iWork и т.д.), И их установщик не был подписан; человек, который изменил пакет, удалил подпись из пакета и распространил ее (или просто создал очень похожий установщик).
Если вы получаете программное обеспечение через Центр обновления программного обеспечения или загружаете официальные исправления / обновления с apple.com , программное обеспечение должно быть подписано центром сертификации программного обеспечения Apple. Если это не так, это не подлинно (строгость Apple - хорошая вещь).
Изменить: корневой сертификат является корневым центром сертификации Apple. Сертификат распространения программного обеспечения утвержден (не уверен в терминологии) корневым центром сертификации Apple.
