Firma de archivos redistribuidos

8

Para enviar una aplicación de escritorio para la tienda de aplicaciones de Windows 8, debe firmar digitalmente cualquier controlador o .exe asociado con la aplicación. Sin embargo, la aplicación que intentaba enviar contiene varios archivos que son redistribuciones del software de otras compañías, y algunos de estos no están firmados. Mi solicitud fue rechazada por estos motivos. ¿Es legal (o ético) firmar el trabajo de otras compañías para que podamos enviar nuestra solicitud? Creo que podría considerarse alguna forma de representación falsa, pero no estoy seguro.

legal ethics PixelArtDragon
fuente
3
He visto problemas similares con las aplicaciones móviles (para BlackBerry necesitabas usar binarios firmados para acceder a algunas API, por ejemplo). Y allí el resumen fue básicamente: al firmar, usted responde por el binario y asume la responsabilidad por él. Entonces, no es como si afirmas que es tu binario, simplemente afirmas que eres responsable de ello, si hace cosas malas ;-) Como siempre, eso no es un consejo legal, yada yada ...
Joachim Sauer
Por cierto, si alguien siente que esta pregunta es más apropiada en otra sección del sitio, hágamelo saber.
PixelArtDragon
1
Les pediría a los creadores de los archivos sin firmar si pueden conseguir que se firmen. Si su licencia permite la redistribución, no veo por qué no querrían hacer esto, ya que apuesto a que hay otros usuarios de sus archivos en la misma posición que usted. Si ellos no quieren firmar sus archivos, por alguna razón, siempre se puede preguntar si les importaba que hacerlo para su aplicación
razethestray
1
¿La tienda aceptará archivos que tengan diferentes firmantes? ¿O debe estar todo firmado por el mismo? Por ejemplo, sé que en Java Web Start, una aplicación firmada debe tener uno, y solo un firmante de todos los archivos (tiene que cancelar la firma y renunciar a cualquier tarro que haya sido firmado primero por un tercero).
@MichaelT Solo buscan una firma digital; quien no importa Es por eso que pregunto si mi empresa podría usar la nuestra para que la aplicación sea aprobada.
PixelArtDragon

Respuestas:

9

Solo puedo responder a esta pregunta sobre una base ética . Si mi punto de vista ético se refleja en la ley está totalmente fuera de mi dominio de experiencia. (Además, no conozco los entresijos de las prácticas de firma de Microsoft, así que corríjame si digo algo que es inconsistente con la forma de hacer las cosas de MS).

Suponga que firma un archivo F(que tiene algunos contenidos C) con una clave de firma K. El par resultante de archivo / firma [F, S(K,C)]dice:

El propietario de la clave Kafirma que el archivo Ftiene contenido C.

Suponiendo que tiene derecho a distribuir los archivos sin firmar, parecería que también tendría el derecho predeterminado de distribuirlos con una firma. Una firma es una transformación criptográfica puramente programática del archivo que lleva la afirmación anterior. (Decir que no se puede firmar criptográficamente algo está bastante cerca de afirmar que no se le permite producir un hash).

Su firma no afirma que usted es el autor del código, sino que afirma que es un punto de confianza en la distribución del código. Eso no es ser engañoso; eso es simplemente una representación perfectamente precisa de lo que está sucediendo. El destinatario final debe decidir si confía en el código distribuido por usted. La identidad del autor original no es relevante para nuestro modelo de confianza, porque usted es la última persona que tocó el código antes de que llegara a su computadora.

apsillers
fuente