软件也要实名制

数字签名技术用好了可保证网络无毒，用不好可能导致出现新的信任危机。专家呼吁软件开发商用好数字证书，从而确保网络无毒。

■ 本报记者  胡英   本报实习记者  彭晶

最近， 360 安全卫士连续

发表了两篇文章:《国内

首现有“身份证”的木马“执照凶手” 9 天感染百万用户》和《木马也办“身份证” 数字签名面临信任危机》。第一篇文章矛头指向在全球软件数字签名领域市场占有率第一的VeriSign公司，而第二篇文章则是把矛头指向占中国软件数字签名市场第一位的WoSign公司。两篇文章的主要观点认为:软件数字证书无用。文章在各大网站转载，一时间掀起轩然大波。

那么，数字证书是否真的面临着一场新的信任危机呢？为此，本报记者采访了相关人员。

关于数字证书的误读

WoSign公司CEO王高华认为，这两篇文章显示了360公司对数字证书技术及其应用的无知。

王高华告诉记者，数字证书就像是网络身份证，任何人都可以办。目前数字证书分很多种，有专门给软件开发机构颁发的代码数字证书、给互联网上服务器颁发的服务器证书、给网上交易人员颁发的数字证书……

360公司在文章中特指的是专门给软件开发机构及其开发的软件颁发的代码数字证书。国际国内颁发这种证书的机构有很多，国际上有VeriSign公司、微软等; 而国内有WoSign公司以及一些CA机构。证书颁发机构，比如微软在其官方网站上早就申明过，代码数字证书只能证明两件事情:该软件被签名后是不能被篡改的; 该软件的开发商是真实的，也就是证明该软件的真实性和不可更改性，这正是数字证书的基本目标。

数字证书颁发机构在严格审核了证书申请单位真实身份后颁发代码签名证书，而软件开发商如何使用该证书、用此证书签名什么软件，与数字证书颁发机构没有任何关系。数字证书颁发机构惟一能做的是:一经举报和查实，就立刻吊销此证书。 王高华认为，360公司根本没有弄清楚数字证书颁发机构与证书使用者的角色和各自应该承担的责任，就任意胡说，是极为不负责任的做法。他举了个例子:“在现实生活中，任何人去派出所办身份证，派出所在验证身份后都会办理。某些具有合法身份证的人同样会犯罪，难道因此认为办身份证的派出所也有责任吗？显然不是。”

因此，他认为，数字证书不是万能药，不能预防所有的犯罪行为。杀毒厂商在不了解事情真相的情况下，不能不负责任地胡说。

采用代码数字签名确保网络无毒

同时，王高华也认为，如果所有的软件厂商都采用了代码数字证书，是可以保证网络无毒的。

他首先从原理上给记者分析:目前，所有病毒等恶意软件基本上都是通过互联网传播，为了有效地遏制此问题，微软提出的解决方案是Authenticode，这是由两个单词authenticate(验证) 和 code(代码)拼成的新词，可以理解为“代码验证机制”。简单地讲，就是给软件代码加上数字签名，来保证软件开发商的真实性和软件发布后的完整性。软件开发商的真实身份由权威第三方数字证书颁发机构来验证，验证软件开发商真实身份后颁发微软代码签名证书。而所有能颁发此数字证书的机构必须通过权威第三方审计后才能列入微软Windows平台的“受信任的根证书颁发机构”。Windows在运行软件时，会查验此软件是否有有效的数字签名，如果有则显示数字签名的软件开发商名称，让用户确信此软件确实来自此公司; 同时让用户确信此软件的数字签名有效，表明此软件没有被非法篡改。

那么，有数字签名的软件就值得用户信任吗？看看截图就知道答案了。图1为从Google网站上下载安装其桌面搜索软件时的显示界面，系统会告诉你此软件的发行者是Google Inc，是否运行此软件用户自己定，缺省按钮是“不运行”，并提醒用户“此类文件类型可能危害您的计算机。请仅运行来自您信任的发行者的软件”。这就是答案！国内大部分杀毒软件公司认为只要有数字签名就是可信的、就直接放行，绝对是误区。

软件实名制势在必行

王高华介绍，带有数字签名的软件就是实名制软件，只要所有软件都实现了实名制，而所有用户都只运行实名制的软件，才能真正有效地形成约束软件开发商“自律”的机制，才能确保网络无毒。因为:一、没有数字签名的软件将没有市场，没有数字签名的软件在Windows上阻止运行或限制运行; 二、有了数字签名的软件就不敢作恶，因为用户能非常容易地找到软件开发商，而执法单位就非常容易抓到软件开发商(其证书颁发机构有完整的身份证明文件); 三、证书颁发机构可以在查实后吊销其数字证书，使得恶意软件的数字签名失效，这样就无法再祸害用户了。

而现在居然有数字签名的软件还敢作恶，只能说明作恶者了解杀毒软件厂商不懂数字签名而钻空子; 或者作恶者也不理解数字签名的威力(相当于小偷在自己脸上写上“我是小偷”)。现在恶意软件横行的另一个重要和主要原因是，用户并不懂什么是软件的数字签名，并不知道应该只运行有数字签名的、自己信任的软件。

那么，如何识别软件是否有数字签名呢？以 MSN 保护盾软件为例 (http://im.live.cn/safe/) :该软件下载运行时会显示如图2所示的安全警告，显示软件发行者为“上海美斯恩网络通讯技术有限公司”，这就是软件的“实名制”，让最终用户明明白白知道此软件由谁发行。

没有数字签名的软件会如何显示呢？运行没有数字签名的软件后，会提示“发行者:未知发行者”，并显示一个红色的叉号警告:此文件没有包含有效的数字签名以验证其发行者。而有数字签名的则是黄色问号警告。也就是说，此软件代码没有采用“实名制”，用户不应该安装任何没有数字签名的文件，以确保其电脑系统的安全。

现在，大家应该已经能够看到如何实现软件“实名制”了，就是软件开发商/发行者必须使用其代码签名证书数字签名其软件代码，这样，软件就有了身份证明，使得互联网上的软件都与软件开发商一一对应起来，不仅可以让最终用户放心使用，同时也大大保护了软件开发商的利益，因为数字签名后软件不可能被非法篡改了，也不可能被非法捆绑流氓软件了！

因此，如果真的有一天能做到所有软件都有数字签名、所有人都不安装没有数字签名的软件，则这一天就是“无毒”时代来临的一天。王高华建议，我国应该强制实施所有软件都必须有数字签名的做法，这样方可确保网络无毒。

图1 从Google网站上下载安装其桌面搜索软件时的电脑显示界面

图2 MSN保护盾软件下载运行时电脑屏幕显示的安全警告