.png)
有人知道一些有关签名软件的详细信息吗/Applications/Utilities/Installer.app?我没有找到更多信息维基百科和 UNIX 手册(man 8 installer)。
以下是来自的有效签名iLife 11 Installer.app:
这是否意味着我可以 100% 确定没有修改任何内容?这是否意味着我可以信任此 PKG,因为它已由 Apple 签名?还是我弄错了什么?
答案1
软件经过签名,只是意味着它经过了 Verisign 或其他人的检查。签名软件的问题在于,如果您的操作系统没有与信誉良好的程序签名者进行检查,那么它很可能会被修改。但是,如果 Apple 或 Verisign 等公司对其进行了签名,并且您直接从一家好的供应商处购买了它,那么您可以相当肯定它不会被修改。如果 iLife 之类的软件被篡改,那么它就不会在 Mac 上通过。
本质上,软件签名就像您购买带有担保的东西一样。任何人都可以保证某事,但不是每个人都会履行该担保。
答案2
当 Apple 分发软件和更新时,它会对软件包进行签名,以确保没有任何修改,类似于电子邮件上的 PGP 签名。Apple 软件更新认证机构 根证书随操作系统一起安装,您可以在中查看Keychain Access.app。
本质上,此签名可确保软件是由 Apple 分发和验证的,并且未被篡改或更改。就像 PGP 电子邮件一样,如果您更改消息内容,签名将不匹配。我见过有人试图下载“预裂”或盗版软件(iLife、iWork 等)且其安装程序未签名;修改软件包的人从软件包中删除了签名并重新分发它(或者只是创建了一个看起来非常相似的安装程序)。
如果你通过软件更新接收软件或从 下载官方补丁/更新apple.com,则该软件应由Apple 软件更新认证机构如果不是,那就不是正品(苹果的严格是件好事)。
编辑: 这根证书是 Apple 根证书颁发机构。软件分发证书由 Apple 根证书颁发机构批准(不确定术语)。