S60证书
S60证书概述S60证书就是诺基亚(nokia)S60手机“安装软件的许可”。当你安装某一软件的时候,nokia手机S60第三版系统会分析你要安装的软件身上带不带这个安装许可(证书),如果没有,则系统不让你安装。
证书有级别、权限的限制,最低等的证书只能用来安装普通游戏、主题、一般应用软件,这类证书可以通过关闭证书检查的设置选项(操作步骤:菜单键--应用程序--程序管理--选项--设置里,软件安装选择“全部”,在线证书检查选择“关”)来规避证书检查而获得安装,由于默认设置是关闭检查的,所以这也就是很多普通软件不需要证书就能安装的原因所在了。稍微高一点的证书可以让软件的信息进入手机 C 盘系统文件夹、让软件具有开机自动运行、修改system参数等高权限,目前需要我们自签名的证书都是此类证书。最高权限的证书可以修改系统,不过需要向nokia付费购买。
证书的作用是什么?
就是为了提高系统安全性。众所周知,病毒发作是因为他可以未经授权偷偷装入你的系统,并且自动运行、调用程序,修改系统文件,并且每次开机自动运行,然后成倍复制自己并且在不同电脑之间传输,无法摆脱。而这些在S60第三版下都变成不可能,因为就是这个让你又爱又恨的证书验证机制。
即使是病毒制作者用了最低档的证书,你可以安装,但是他由于没有权限所以无法自启动、无法调用系统文件和程序,无法向别的手机扩散,所以等于废物。而要得到高权限,除非这个软件让你给他签名了,首先得过你自己这一关,假如你真的给一个病毒签名了,那么病毒的危害也是最小的,因为证书是和你手机唯一的IMEI码(串号)对应的,它不能扩散就失去了传播的可能性。病毒制作者做这样一个病毒有多少意义?现在唯一的可能是,病毒制作者获得最高权限证书才能实现罪恶目的,但是诺基亚怎么可能把证书授予一个病毒制作者?除非最高权限的证书被黑客破解。这样的事情还没有发生,因此S60第三版的杀毒软件目前来看都没有用武之地。
如何获得证书?
普通用户要获得的第二种证书需要去symbian网站注册帐号,然后提供自己的串号申请,获得一个只适用于你手机的证书文件。现在symbian网站对注册邮箱的域名(即@后面的部分)限制的很厉害,相同的邮箱域名只能注册几个帐号,因此现在只能用很少见的或不对外公开注册的邮箱域名才有可能注册成功。所以大多数人都需要提供自己手机的串号,求助有帐号的网友代为制作证书。如果希望自己做证书,可以看相关的教程。
证书和你手机的唯一串号对应,所以证书不能通用。你自己的证书只能你自己的手机用,也就是说你可以用你的证书给你想装进自己手机的无数个软件签名使用。但是你不能用你的证书给别人签名,然后将签名完的软件装到别人的手机。
证书有有效期吗?
有,从2007年12月份申请的新证书有效期都是3年,之前的证书有效期都是半年的。到期以后,已经安装的软件照样运行正常,唯一影响的只是你再用这个证书签名软件,那么该软件在安装的时候,S60第三版系统就会提示证书时间错误而不允许安装了。解决方法:要么你再去symbian网申请一个证书,要么你把你的手机时间调整到自己当初申请证书的时间之后的有效期内任意一个时间,然后用原证书签名,装完软件再把手机时间调整回正常。现在的证书有效期足够我们使用了,只是有些以前的已经破解签名的软件过了有效期,这种软件也可以用软件清除旧的签名重新签名使用。
什么是签名?如何签名?
签名就是将你申请到的证书绑定到需要签名软件的安装程序里去,好让这个安装程序通过S60第三版的检查。其实这就是一个打包的过程。
电脑操作绑定的方法有好几种,最常用的就是通过专门的签名软件进行绑定。这里需要提一下,在制作证书的过程中是需要提供一个key文件来和证书对应(另一个安全验证机制)。签名时也需要使用制作证书时的key文件、证书、待签名软件三方绑定验证,不过现在制作的证书几乎都是使用的相同key文件,因此一些签名软件在签名时就不提示指定key文件了。S60证书签名专家(开心智能版)就是这样一款不需要指定 key 文件的很好用的签名软件。该软件界面简单易懂,不需要特别的介绍了,只要在软件签名窗口下指定证书和待签名软件执行签名就可以了。
有些朋友可能不方便使用电脑,signsis就是一款在手机上使用的签名软件,该软件需要key文件,签名时需要注意的是要选择“签名”,不要选择“自签名”,因为“自签名”权限低。生成的文件会在后缀名后多一个“x”,可以删除,不删除也不影响使用。
有些网友可能会遇到证书不管用的情况,大多是因为提供的串号有问题或证书与自己的手机串号不对应,证书的文件名一般是自己的手机串号,因此如果和自己的串号不对应,多数是有问题的,当然也不能排除制作者修改了证书名。还有一种可能就是制作者使用的key不是通用的。
哪些软件需要签名?
目前有实力的公司或确实有需要的公司会购买诺基亚的高级权限证书,通常是安全厂商。这类公司的软件不需要我们自签名。还有许多软件都是一般的应用软件,和系统没什么关联,它们权限很低,不可能存在危险,比如网络电视软件、阅读软件、QQ、主题等都不需要签名。需要签名的软件软件大致可分为以下几种情况:
(1)随开机启动的,比如来电通,A4自签名版;
(2)不要你操作可以自动运行的,比如屏保程序;
(3)进入系统文件夹修改的,比如大部分后期汉化的软件,比如mimo等。
下面是一些提示。
特别提示:安装和运行本签名工具,必须使用具有管理员权限的用户登录 Windows
S60第三版手机操作系统在安全性方面做了比较大的改善,对在系统中安装运行的第三方软件有更为严格的规定。
某些涉及手机软硬件安全/个人信息安全等方面的操作被做了特别的限制(比如随手机开机自动启动就是被限制的功能之一)。应用程序要实现这些"被特别限制"了的功能就必须获得“签名”。也就是说要有人来为这个操作的安全性负责!未经任何签名的程序不能安装运行。
诺基亚论坛签名(sign)就是在应用程序的特定字段写入特定的标记信息,表示该软件已经通过了签署者的审核。
其中签名又大致分三种:
1. Symbian 签名。
即Symbian(塞班)手机操作系统官方签名。通过了 Symbian 安全认证的软件才会获得 Symbian 的签名。该类软件有最高的安全级别。在手机上能正常安装/运行/且能实现软件提供的所有功能.获得 Symbian签名需要软件作者直接和 Symbian 官方打交道,基于多方面的原因,并不是所有软件的作者都有能力获得这个认证的。
2. 作者签名。
软件作者在发布软件的时候就对软件进行了签名。这类软件可以在手机上安装运行(可能会遇到安全性警告,可跳过)。但不能实现那些“被特别限制”了的功能。如果某软件根本不涉及这类功能,那么软件作者也完全可能自己签名就行了。还有一种可能就是软件虽然有某部分功能属于“被特别限制”的范围,但并不是主要功能。软件作者也可能发布一个“作者签名版”,这样的版本可以正常使用大部分功能,但会丧失一些特定功能。如“来电通”,几乎全部功能都可以使用,只是不能开机自启动。
3. 用户签名。
严格来说这个应该是属于“开发者签名”。因为 Symbian 为软件开发者提供一种“开发证书”,原意本来是让软件开发者作软件测试用的。这个“开发证书”是与作为测试用的机器的 IMEI 码挂钩的。使用这种证书签名的软件只能在该 IMEI 码对应的机器上使用,不能用于别的机器。我们所谓的“自签名”其实就是利用了这个方式,说白了就是你说你是开发软件的,你提供你测试机器的 IMEI 码,Symbian 颁发给你一个“开发证书”,你用这个证书签名你的“测试软件”。你自己对你自己的“开发行为”负责!如此而已。另外,开发证书自颁发日起有效期为半年.但在证书有效期内签署好了程序的使用时限是没有限制的.
4.证书权限说明。
(1)NetworkServices:用于使用移动网络。
(2)LocalServices:用于通过U*、红外和蓝牙发送或接收消息。
(3)ReadUserData:准许读取用户数据。
(4)WriteUserData:准许写入用户数据
(5)Location:准许访问手机的位置信息。
(6)UserEnvironment:准许访问用户及其附近环境的实时保密信息。
(7)PowerMgmt:准许在系统中中断任何进程或者转换机器状态。
(8)SwEvent:准许生成或者捕获键盘以及笔输入事件。
(9)ReadDeviceData:准许读取系统设备驱动数据
(10)WriteDeviceData:准许写入系统设备驱动数据。
(11)SurroundingsDD:准许访问提供外围设备输入信息的逻辑设备驱动。
(12)TustedUI:区分”normal”应用和”trusted”应用的UI。
(13)ProtServ:准许服务器应用可以用一个受保护的名字进行注册。
(14)NetworkControl:准许修改或者访问网络协议控制。
(15)MultimediaDD:准许对所有多媒体设备驱动的访问。
(16)CommDD:准许访问通信设备驱动。
(17)DiskAdmin:准许进行硬盘管理操作,例如格式化驱动器。
(18)DRM:准许访问DRM保护的内容。
(19)TCB:准许在终端中访问/*s以及/resource目录。
(20)AllFiles:准许系统中的所有文件可见,可对在/private下的文件进行写操作。
"个人开发证书"是具有前面13项功能的证书。"PublisherID证书"是具有前面17项的能力的证书。
Symbian Signed 的三种签名机制:一、Open Singed (公开签名) 下又分两种情况:
1、Open Singed Offline 离线签名
这个就是我们以往用的办法,去 Symbiansigned 网站申请证书,然后使用得到的证书在本地签名。
2008年2月底开始,这种签名方式只对拥有 Publisher ID 的用户开放,而无 Publisher ID 的用已经不能再申请开发证书了(无限期关闭)
2、Open Singed Online 在线签名
意思是把你需要签名的程序提交上 Symbiansigned 网站,同时提交你的IMEI(序列号),签好以后下载下来用就是。
Open Singed 两种方法签好的程序都受IMEI限制,只能在指定IMEI的设备上用。
Open Singed Offline 需要Symbiansigne 用户帐号,Open Singed Online 不需要帐号
二、Express signed (快速签名)
将待发布的应用程序 (sis文件) 先使用自己的 Publisher ID 签名,然后提交这个应用程序到 Symbiansigned 网站由 Symbian 使用 B型根证书再签名。
这样签好的程序没有 IMEI 限制,谁都能用。这种方式 Symbian 不负责测试,但可能随机抽检。程序没有资格使用 Symbian OS 标志。提交签名的程序每个收费20美元。
三、Certified Signed (鉴定签名)
将待鉴定的应用程序先使用自己的 Publisher ID 签名,同时包括开发该程序时的PKG文件、用户手册等一起提交 Symbiansigned 的测试室,由他们测试,通过后使用Symbian B型根证书签名。
这样签好的程序没有 IMEI限制,可以使用 Symbian OS 的标志。由测试室收取测试费(具体数目不明)。
从上面可以看出:只有 Open Signed Online(在线签名)是不需要 Publisher ID 的,其他的所有签名方式都必须 Publisher ID
Publisher ID 证书与普通证书的区别以前无 Publisher ID 的普通个人用户可以“冒充开发者”自由申请开发证书,那种证书包含13个能力(用户能力6项+系统能力7项),并且一个证书对应唯一的一个 IMEI 号码。
2008年2月SymbianSigned 关闭了无 PublisherID 的普通个人证书申请,现在只有拥有 Publisher ID 才能申请到证书。
拥有 Publisher ID 可以直接申请17项能力的证书(用户能力6项+系统能力7项+受限的系统能力4项)。一个证书里最多可以包含 1000 个 IMEI。
实际上 Publisher ID 也可以申请另外的3项 设备制造商能力(这样就能拥有完整的 20个能力)。并且一个证书里也可以包含多于1000个IMEI。但是!这些需要说明理由并提交 SymbianSigned 严格审批,很麻烦的 ...