标签 数字签名 下的文章

这款装机量极高、广泛应用于数百万开发者电脑中的开源文本编辑器Notepad++,其开发团队已证实发生一起严重安全事件 —— 软件的更新基础设施遭劫持,恶意攻击持续长达数月。在今日发布的透明度报告中,项目方披露,国家级黑客组织劫持了软件的更新机制,向特定目标用户投递恶意载荷。
此次攻击事件的时间跨度为 2025 年 6 月至 12 月初,攻击并未利用软件代码本身的漏洞,而是将矛头对准了托管软件的服务器。
报告指出:“攻击者通过攻陷基础设施,拦截发往notepad-plus-plus.org官网的更新流量,并将其重定向至自己控制的服务器”
尤为关键的是,这并非一场 “广撒网式” 的攻击。黑客借助被攻陷的基础设施实施 “精准定向攻击”,仅向特定目标用户下发恶意更新配置文件,绝大多数普通用户并未受到波及。
攻击活动所展现出的高精准度与专业性,足以说明攻击者具备雄厚的资源支撑。参与调查的独立安全研究员评估称:“该威胁组织极有可能是某中国国家级黑客团体,这也解释了攻击过程中呈现的精准定向特征”
攻击者正是利用了旧版 Notepad++ 中存在的更新验证机制缺陷,才得以推送这些恶意篡改的更新包。直至 2025 年 12 月 2 日托管服务商驱逐攻击者,这场攻击活动已持续近六个月。
为应对此次安全漏洞,Notepad++ 开发团队已将官网迁移至安全防护更为严格的新托管服务商。此外,软件的更新组件WinGup也在 8.8.9 版本中完成重大升级。
新版更新器新增功能,能够 “同时校验下载安装包的证书与数字签名”;项目方还计划采用 XMLDSig 技术,对更新服务器返回的 XML 文件进行签名,确保软件接收的更新指令真实可靠。
项目负责人就此次事件发表了个人致歉声明:“对于所有因本次劫持事件受到影响的用户,我深表歉意”。
随着基础设施迁移完成与代码防护加固落地,开发团队认为当前的直接威胁已被消除。正如报告结尾所言:“通过这些调整与强化措施,我相信问题已得到彻底解决,但愿一切安好”。开发团队强烈建议所有用户,立即将软件升级至 8.8.9 或更高版本,以获取新版验证机制带来的安全防护。

EV代码签名证书是什么?

EV代码签名证书(Extended Validation Code Signing Certificate)是一种高级别的数字签名证书,用于为软件代码、应用程序或驱动程序提供数字签名,确保其来源的真实性、完整性以及未被篡改。与普通的代码签名证书(如OV或DV)相比,EV代码签名证书提供了更高的信任级别,特别适用于需要增强用户信任的商业软件或企业级应用。

EV代码签名证书的特点与优势

  1. 高信任级别

    EV代码签名证书通过严格的验证流程,向用户证明软件的来源是合法且经过验证的。安装使用此证书签名的应用时,操作系统和浏览器会显示软件签名者的公司名称,增强了用户对软件的信任。

    许多操作系统(如Windows)对EV代码签名证书的支持更加完善,因此具有更强的安全保障,用户会看到明显的“绿色标识”和公司名称。

  2. 更好的防篡改保障

    EV证书为软件的数字签名添加了强有力的加密保护,防止软件在发布后被篡改或感染恶意代码。

  3. 浏览器和操作系统兼容性
**EV证书**在 Windows 操作系统和主要浏览器(如Chrome、Edge、Firefox等)中都会显示可信标识,增强软件的可信度。特别是在Windows上,EV签名的程序会显示开发者的名称,减少用户看到“未知发布者”的警告。

  1. 提高下载率

    由于EV代码签名证书增强了软件的可信度,因此会提高用户下载和安装的意愿。用户在看到签名者是经过验证的知名公司后,会更放心地安装和使用软件。

  2. 保护开发者与用户

    通过数字签名,开发者能够证明软件的完整性,并证明没有任何中间人篡改。对于用户来说,EV签名能够有效防止恶意软件、病毒等的侵害。

EV代码签名证书的申请流程

与普通的代码签名证书(如DV、OV)相比,申请EV代码签名证书的过程更加严格,需要经过更为详尽的身份验证,以确保签发证书的公司或开发者的合法性。下面是申请EV代码签名证书的基本步骤:

点击查看代码签名证书详情

1. 准备申请所需资料

在申请EV代码签名证书时,您需要提供以下资料:

  • 公司信息:EV代码签名证书是面向企业/组织的,而不是个人。您需要提供公司的正式注册名称、地址、电话、税务号码等合法公司信息。
  • 公司注册文件:包括公司注册证明、法人代表身份证明、营业执照等,证书颁发机构(CA)会核实您的公司是否为合法存在的企业。
  • 组织验证资料:CA会对您的公司背景进行详细核查,确认公司是否符合申请条件。
  • 域名或组织信息验证:部分CA可能还会要求您提供一些额外的信息,如注册的域名或相关的组织信息,确保您的公司信息的准确性和合法性。

2. 选择证书颁发机构(CA)并提交申请

访问CA机构官网:打开JoySSL官方网站注册一个账号。在注册过程中,需要填写特定的注册码230970以获得大额优惠券和技术支持。

选择证书类型:根据企业需求选择OV或EV证书。

完成验证:根据要求进行验证,可能涉及企业组织身份验证等。验证通过后,证书将被签发。

安装证书:在服务器上安装证书,并测试网站是否能够通过HTTPS正常访问。

“电子签章”是电子签名的一种可视化表现形式。它不仅仅是一个简单的图片,而是一套由法律背书的、具备完整密码技术的安全解决方案。可以将其理解为传统物理公章或手写签名的数字化、法律等效体。

核心组成部分

一个有效的电子签章通常包含两大核心部分:

Ø 可视化的印章图片

这就是我们通常“看到”的电子签章,外观上模仿了实体公章或签名样式。

作用: 提供与传统方式一致的可视化确认,让人直观地知道签署方和签署位置。

Ø 数字证书与密码技术

这是电子签章的“灵魂”,是法律效力的关键。

数字证书: 由依法设立的电子认证服务机构(CA机构) 颁发,相当于一个实体的“网络身份证”。它绑定了签署方的真实身份。

数字签名: 在签署时,系统会使用与数字证书对应的私钥对文件进行运算,生成一个唯一的“数字指纹”(哈希值),并锁定文件内容。任何对文件的篡改都会导致指纹失效

电子签章的法律效力

在中国,电子签章具有明确的法律效力。《中华人民共和国电子签名法》 第十三、十四条明确规定:

可靠的电子签名与手写签名或者盖章具有同等的法律效力。同时规定了何为“可靠的电子签名”,核心就是身份真实、签署意愿真实、文件原文未改、签名未改。

满足上述条件的电子签章,在民事活动中(如合同、票据、公文)具有完全的法律效力。除了法律规定的少数特殊情况(如涉及婚姻、收养、继承的人身关系文书,以及涉及停止供水、供热、供气等公用事业服务的文书),绝大多数场景均可使用。

电子签章是中国数字化转型中的关键一环。它不是一个简单的图片水印,而是一个集身份认证、数字签名、时间戳和存证保全于一体的完整法律和技术解决方案。它的普及极大地提升了企业运营效率,降低了成本,并确保了电子文件的法律。