怎樣驗證軟體是否可信？是否被篡改？

證書除了可以用來驗證某個**，還可以用來驗證某個檔案是否被篡改。軟體開發者需要購買**簽名證書給發布的軟體簽名，來驗證軟體**的**與完整性。後面專門告訴大家如何驗證檔案的數字簽名。就拿 windows 的例子來說吧。

比如，俺手頭有乙個 firefox 的安裝檔案（帶有數字簽名）。當俺檢視該檔案的屬性，會看到如下的介面。眼神好的同學，會注意到到上面有個「數字簽名」的標籤頁。如果沒有出現這個標籤頁，就說明該檔案沒有附帶數字簽名。

選擇該標籤頁，看到如下介面。

順便說一下，某些數字簽名中沒有包含「郵件位址」，那麼這一項會顯示「不可用」；同樣的，某些數字簽名沒有包含「時間戳」，也會顯示「不可用」。不要緊張，這裡顯示的「不可用」跟數字簽名的有效性沒關係。

一般來說，簽名列表中，有且僅有乙個簽名。選中它，點「詳細資訊」按鈕。跳出如下介面：通常這個介面會顯示一行字：「該數字簽名正常」（圖中紅圈標出）。如果有這行字，就說明該檔案從出廠到你手裡，中途沒有被篡改過（是原裝滴、是純潔滴）。

如果該檔案被篡改過了（比如，感染了病毒、被注入木馬），那麼對話方塊會出現乙個警告提示「該數字簽名無效」（圖中紅圈標出）。介面如下：

不論簽名是否正常，你都可以點「檢視證書」按鈕。這時候，會跳出證書的對話方塊。如下：

從後乙個介面，可以看到俺剛才說的證書信任鏈。圖中的信任鏈有3層：

第1層是根證書（thawte premium server ca）。

第2層是 thawte 專門用來簽名的證書。

第3層是 mozilla 自己的證書。

目前大多數知名的公司（或組織機構），其發布的可執行檔案（比如軟體安裝包、驅動程式、安全補丁），都帶有數字簽名。你可以自己去看一下。

建議大夥兒在安裝軟體之前，都先看看是否有數字簽名？如果有，就按照上述步驟驗證一把。一旦數字簽名是壞的，那可千萬別裝。

證書除了可以用來驗證某個還可以用來驗證某個檔案是否被篡改。軟體開發者需要購買簽名證書給發布的軟體簽名，來驗證軟體的與完整性。後面專門告訴大家如何驗證檔案的數字簽名。就拿 windows 的例子來說吧。比如，俺手頭有乙個 firefox 的安裝檔案帶有數字簽名當俺檢視該檔案的屬性，會看到如...