Assinando arquivos redistribuídos

8

Para enviar um aplicativo da área de trabalho para a loja de aplicativos do Windows 8, é necessário assinar digitalmente qualquer driver ou .exe associado ao aplicativo. No entanto, o aplicativo que eu estava tentando enviar contém vários arquivos que são redistribuições do software de outras empresas e alguns deles não são assinados. A minha candidatura foi rejeitada por estes motivos. É legal (ou ético) assinar o trabalho de outras empresas para que possamos enviar nossa inscrição? Eu acho que pode ser considerado algum tipo de representação falsa, mas não tenho certeza.

PixelArtDragon
fonte
3
Vi problemas semelhantes com aplicativos móveis (para BlackBerry, você precisava usar binários assinados para acessar algumas APIs, por exemplo). E aí o resumo era basicamente: ao assinar, você atesta o binário e assume a responsabilidade por ele. Portanto, não é como se você estivesse reivindicando o seu binário, você simplesmente afirma que é responsável por isso, se faz coisas impertinentes ;-) Como sempre, isso não é aconselhamento jurídico, yada yada ...
Joachim Sauer
A propósito, se alguém achar que essa pergunta é mais apropriada em outra seção do site, entre em contato.
precisa
1
Gostaria de perguntar aos criadores dos arquivos não assinados se eles podem assiná-los. Se a licença deles permitir a redistribuição, não vejo por que eles não gostariam de fazer isso, aposto que existem outros usuários de seus arquivos na mesma posição que você. Se eles não querem assinar seus arquivos, por algum motivo, você pode sempre perguntar se eles importava que você fazê-lo para a sua aplicação
razethestray
1
A loja aceitará arquivos com diferentes signatários? Ou tudo deve ser assinado pelo mesmo? Por exemplo, eu sei que no java web start, um aplicativo assinado deve ter um e apenas um signatário de todos os arquivos (é necessário cancelar a assinatura e renunciar a todos os frascos que foram assinados por terceiros primeiro).
@MichaelT Eles estão apenas procurando por uma assinatura digital; quem é que não importa. É por isso que pergunto se minha empresa pode usar a nossa para obter a aprovação do aplicativo.
precisa

Respostas:

9

Só posso responder a essa pergunta de maneira ética . Se meu ponto de vista ético se reflete na lei está totalmente fora do meu domínio de especialização. (Além disso, não conheço as vantagens e desvantagens das práticas de assinatura da Microsoft, portanto, corrija-me se eu disser algo que seja inconsistente com a maneira de fazer as coisas da MS.)

Suponha que você assine algum arquivo F(com algum conteúdo C) com uma chave de assinatura K. O par de arquivo / assinatura resultante [F, S(K,C)]diz:

O proprietário da chave Kaqui declara que o arquivo Ftem conteúdo C.

Supondo que você tenha o direito de distribuir os arquivos sem assinatura, parece que você também teria o direito padrão de distribuí-los com uma assinatura. Uma assinatura é uma transformação criptográfica puramente programática do arquivo que carrega a asserção acima. (Dizer que você não pode assinar criptograficamente algo está perto de afirmar que você não tem permissão para produzir um hash.)

Sua assinatura não afirma que você é o autor do código, mas afirma que você é um ponto de confiança na distribuição do código. Isso não está sendo enganoso; isso é apenas uma representação perfeitamente precisa do que está acontecendo. O destinatário final deve decidir se confia no código distribuído por você. A identidade do autor original não é relevante para o nosso modelo de confiança, porque você é a última pessoa que tocou no código antes que ele chegasse ao computador.

apsillers
fonte