В FlylinkDC++ r500 была реализована возможность автообновления. Эта возможность позволяет самой программе автоматически получать обновления и устанавливать их.
Данный процесс автоматизации вносит определенный риск (возможность подмены оригинальных обновлений и т.д.). Часть этой проблемы была решена за счет подписи самого файла обновления 1024-битным RSA ключом. Публичная часть ключа находится в самом FlylinkDC++ r500, а частная часть является собственностью разработчиков проекта и недоступна для общего пользования по понятиям безопасности.
Следующим шаг защиты должно быть цифровая подпись самого приложения. На данном этапе при обновлении FlyUpdate’ом мы видим следующую картину:
Publisher в нашем случае – это производитель программы, подлинность которой устанавливается специальным сертификационным центром. Для этого необходимо получить сертификат, но у нашей команды отсутствует опыт общения с сертификационными центрами, начиная от выбора (а исходя из того, что проект у нас не коммерческий и выбор должен ограничиваться нашими скромными финансовыми возможностями (хотя мы не против спонсорства со стороны пользователей :) ), и заканчивая перечнем необходимой документации, которую необходимо предоставить сертификационному центу для получения сертификата.
Если Вы сталкивались с этим и можете поделится информацией – мы будем очень признательны.
c уважением, команда разработчиков FlylinkDC++
