• بما أن خوارزميات المفتاح العام غير فعّالة لتوقيع الملفات الكبيرة، يتم تمرير البرمجيات عبر خوارزمية تجزئة، مما ينتج ملخصًا ثابت الطول للملف يعرف بـ"الهاش"
• "الهاش" هو تمثيل فريد من الناحية التشفيرية للملف
• ولا يمكن إعادة إنتاجه إلا باستخدام الملف الأصلي وخوارزمية التجزئة المستخدمة في إنشائه

• يُمرر "الهاش" عبر خوارزمية التوقيع، ويُستخدم المفتاح الخاص للناشر كمدخل للتوقيع.

• يتم تجميع البرمجيات الأصلية مع التوقيع وشهادة توقيع حماية البرمجيات في حزمة واحدة.

• يتم تمرير البرمجيات الأصلية عبر خوارزمية التجزئة لإنتاج "هاش" جديد.
• يُستخرج المفتاح العام للناشر من الحزمة، ويتم تطبيقه على التوقيع لفك التشفير واستخراج "الهاش" الذي تم حسابه عند توقيع الملف.
• تتم مقارنة "الهاش" الجديد مع "الهاش" المستخرج؛ إذا كانا متساويين، فهذا يعني أن البرمجيات لم تتغير ويعتبر التوقيع صحيحًا.

• يتم فحص شهادة توقيع الحماية للتأكد من أنها موقّعة من هيئة تصديق موثوقة.
• يتم التحقق من تاريخ انتهاء صلاحية الشهادة.
• يتم فحص الشهادة ضد قوائم الإلغاء للتأكد من صلاحيتها.

1. تأكد من أنك تخطط فعلًا لتثبيت هذا البرنامج، وأنه البرنامج الذي تحتاجه.
2. راجع اسم الملف للتأكد من أنه يشير إلى البرنامج الذي تريد تثبيته. على سبيل المثال، إذا كنت تقوم بتثبيت "Adobe Reader 10"، يجب أن يتضمن اسم الملف إشارة إلى هذا البرنامج.
3. تأكد من أن اسم الناشر يتطابق مع الشخص أو الجهة التي تتوقع أنها كتبت البرنامج. قد يكون هذا صعبًا أحيانًا، خصوصًا إذا كان موقع التنزيل مختلفًا عن موقع الناشر الرسمي
4. راجع الشهادة للتحقق من وجود اسم الناشر فيها، مما يضمن أنه قد تم التحقق من هوية الناشر.
5. تأكد من أن الشهادة صادرة عن هيئة تصديق عامة موثوقة، حيث تُعتبر هذه الهيئات جهات معترف بها للتحقق من هوية الناشرين.

• يتم إرسال التوقيع إلى سلطة ختم الزمن (TSA).
• تقوم TSA بإضافة ختم الزمن إلى المعلومات المجمعة وحساب "هاش" جديد..
• تقوم TSA بتوقيع "الهاش" الجديد باستخدام مفتاحها الخاص لإنشاء حزمة معلومات جديدة.
• يتم إعادة تجميع الحزمة المختومة زمنياً مع الحزمة الأصلية (المُرسلة إلى TSA) وختم الزمن، بالإضافة إلى البرمجيات الأصلية.

• يتم التحقق من شهادة سلطة ختم الزمن (TSA) للتأكد من أنها صادرة عن شهادة جذر موثوقة وأن حالتها صالحة.
• يُستخدم المفتاح العام لـ TSA على كتلة التوقيع المختومة زمنياً لكشف "الهاش" الذي حسبته TSA.
• يتم التحقق من صلاحية المفتاح العام لـ TSA من خلال فحص تاريخ انتهاء الصلاحية والرجوع إلى قوائم الإلغاء للتأكد من أنه لم يُلغَ.
• تتم مقارنة "الهاشين" المستخرجين. إذا كانا متساويين، يُعتبر ختم الزمن صالحًا.

• هوية الناشر: يجب أن يكون الاسم القانوني للناشر هو الاسم الشائع (Common Name)، ويمكن أيضًا أن يكون الاسم التجاري (DBA).
• حجم المفتاح الأدنى: يجب ألا يقل حجم المفتاح عن 2048 بت في خوارزمية RSA، أو منحنيات ECC مثل P-256، P-384، أو P-521.
• مدة الصلاحية: الحد الأقصى لمدة الصلاحية هو 39 شهرًا.
• الطلبات عالية المخاطر: يتعين على الجهات المانحة للشهادات (CAs) التحقق من قواعد البيانات للتأكد من عدم منح شهادة توقيع حماية البرمجيات للناشرين المعروفين بتوزيع برمجيات مشبوهة.
• حماية المفتاح الخاص: نظرًا لاستخدام مفاتيح مخترقة في توقيع برمجيات مشبوهة، يجب تشفير المفاتيح الخاصة على أجهزة مادية أو حفظها على أجهزة منفصلة عن نظام توقيع البرمجيات.
• الهجمات على المفاتيح: في حال وجود تاريخ من الهجمات على مفاتيح الناشر، يُطلب مستوى أعلى من الحماية للمفتاح الخاص
• إلغاء الشهادة: تم تحديد إجراءات خاصة لإلغاء الشهادات تشمل طلبات الإلغاء من موردي البرامج (مثل مايكروسوفت).
• ختم الوقت (Time-stamping): تم تحديد متطلبات لمصدر الشهادة، وختم الوقت، وهيئة ختم الوقت (TSA).

• الحد من الاتصال بأجهزة الكمبيوتر التي تحتوي على المفاتيح.
• تقليل عدد المستخدمين الذين يمكنهم الوصول إلى المفاتيح.
• استخدام وسائل الحماية المادية لتقليل الوصول إلى المفاتيح.

• يجب استخدام أجهزة التشفير المادية لحماية المفاتيح الخاصة، حيث تمنع هذه الأجهزة تصدير المفتاح الخاص إلى برامج يمكن أن تكون عرضة للهجمات.
• يُنصح باستخدام أجهزة تشفير معتمدة بمعيار FIPS 140 Level 2 أو أعلى لضمان مستوى عالي من الأمان.
• استخدام شهادات توقيع الحماية الممتدة (EV) تتطلب شهادات EV لتوقيع الحماية أن يتم إنشاء المفتاح الخاص وتخزينه في جهاز تشفير مادي، مما يعزز من مستوى الحماية.

• يساعد ختم الزمن في التحقق من البرمجيات بعد انتهاء صلاحية الشهادة أو حتى في حال إلغائها. يمنح هذا المستخدِمين الثقة في أن البرمجيات كانت موقعة بشكل صحيح في وقت النشر.

• يتطلب التوقيع أثناء الاختبار مستويات أقل من الحماية مقارنة بالتوقيع للإصدار النهائي
• مكن أن تكون الشهادات المستخدمة في الاختبار موقعة ذاتيًا أو من سلطة تصديق داخلية.
• يجب أن تكون شهادات الاختبار متسلسلة مع شهادة جذر مختلفة تمامًا عن تلك المستخدمة في المنتجات المعلنة للجمهور. يساعد هذا الفصل في ضمان أن شهادات الاختبار لا تُستخدم إلا في بيئة الاختبار المحددة
• من المهم إنشاء بنية تحتية مخصصة لتوقيع البرمجيات أثناء الاختبار

• لضمان أمان البرمجيات المقدمة للتوقيع، يجب التحقق من هويتها وصحتها بدقة قبل إصدارها.
• ينبغي إنشاء عملية تنظيمية لتقديم الكود والموافقة عليه، لمنع توقيع البرمجيات غير المصرح بها أو التي قد تكون خبيثة.
• يفضل تسجيل جميع عمليات توقيع البرمجيات لأغراض التدقيق المستقبلي أو الاستجابة لأي طوارئ.

• توقيع البرمجيات لا يضمن خلوها من الأخطاء أو جودتها، بل يؤكد فقط أن الكود صادر من جهة معروفة ولم يتم التلاعب به.
• يجب توخي الحذر عند استخدام أكواد برمجية تم الحصول عليها من مصادر خارجية، إذ قد تحتوي على مخاطر.
• من الضروري إجراء فحص أمني للكود باستخدام برامج مكافحة الفيروسات قبل توقيعه، لضمان جودته وأمانه.

• إذا تبين أن أحد الأكواد يحتوي على ثغرة أمنية، فمن الأفضل أن يظهر تحذير للمستخدم عند تثبيته، ويتم ذلك من خلال إلغاء شهادة توقيع الكود بحيث تظهر رسالة تُعلم المستخدم بالمشكلة.
• إذا تم إصدار أكثر من كود باستخدام الشهادة ذاتها، فقد يؤثر إلغاء الشهادة على البرمجيات الصالحة أيضًا.
• للحفاظ على المرونة، يُنصح باستخدام شهادات متعددة ومفاتيح مختلفة لتقليل المخاطر وضمان استمرارية العمل بأمان.

يجب على الجهات الحكومية التسجيل في بوابة شركة مصدر التكنولوجيا (TS)، والتي تعمل كهيئة تسجيل (Registration Authority - RA)، قبل أن تتمكن من التقديم للحصول على شهادات من Corporate CA أو Infrastructure CA. تقوم الجهة الحكومية باتباع الخطوات التالية لمشاركة التفاصيل المطلوبة مع TS RA:

• يتصل ممثل الجهة الحكومية بـ TS عبر إرسال بريد إلكتروني إلى TS.certification.info@pki.gov.pk
• يعبر ممثل الجهة الحكومية عن احتياجات الجهة في البريد الإلكتروني.
• يرد TS RA بالمعلومات اللازمة من ممثل الجهة الحكومية.
• يجب على ممثل الجهة الحكومية ملء وتقديم النموذج إلى TS RA.

بمجرد أن يتم تسجيل الجهة الحكومية مع TS، يمكن لممثل الجهة الحكومية ملء وتقديم نموذج طلب الشهادة.