posted by wap, platform: iPhone

引用:

原帖由 @Kuzuryuusen  于 2016-1-21 06:31 发表
数字签名不能代替校验。况且数字签名的可靠性还是不如校验，只有校验才能保证二进制级别的一致性。所以校验码的来源无比重要。
________
发送自TGFC Android Beta客户端

数字签名是哈希算法计算生成你说的校验串后用私钥加密，所以才叫签名。
验证签名时，会用对应的数字证书（公钥）解开签名，得到校验串1，然后再用被校验文件算一次得到校验串2，对比这两个串就行了。
所以数字签名很可靠啊。

posted by wap, platform: iPhone

引用:

原帖由 @Kuzuryuusen  于 2016-1-21 08:37 发表
我还是觉得数字签名无法替代校验码。毕竟还有些文件没有签名。数字签名也无法在二进制上确认特定文件的一致性。比方说微软每天发行的带签名的文件成百上千，但是"版本号16.0.XXXX的office2016简体中文版"只有一个。光凭签名如何确认是哪一个？
________
发送自TGFC Android Beta客户端

嗯嗯，尝试理解下，你的意思是说：
1. 对于ISO内的数据文件，没有签名，所以还是有风险。
2. 对于整个ISO文件之类的来说，可能会有被恶意重新打包、或者虽然是微软发布的但用途不是这个的风险。

如果是这两个的话，确实还需要大文件的签名或者哈希校验码，不过前者微软不会做吧，后者只能靠发布者的人品和后期用户鉴别了。。。