如果Mac代码签名被篡改，什么会失败？

Mac应用程序的数字签名被破坏时，可能会引起什么烦恼或真正的问题？

Mac上的应用程序可以进行数字签名。当签名以某种方式被破坏时，我知道一些应用程序可能会注意到这一点。但是我不知道这些只是烦恼或会破坏事物的细节：

• OS X防火墙可能无法正确设置临时签名，导致反复提示“您是否希望应用程序'[..]'接受传入的网络连接？”

• 家长控制所允许的应用程序可能不再运行？

• 钥匙串访问可能已损坏？

• 有人说Apple软件更新可能会失败。如果为true，那么我想知道这是否确实取决于代码签名签名，或者是否由整个应用程序的某些不匹配的哈希值或BOM表文件中的信息引起。

以下是更多背景信息。

可以使用以下方式显示代码签名详细信息：

codesign --display -vv /Applications/iTunes.app/

...这将产生类似于以下内容的信息（但不会发出修改警告）：

[..]
CDHash=86828a2d631dbfd417600c458b740cdcd12b13e7
Signature size=4064
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
[..]

可以使用以下方式验证签名：

codesign --verify -vv /Applications/iTunes.app/

这将产生：

/Applications/iTunes.app/: valid on disk
/Applications/iTunes.app/: satisfies its Designated Requirement

...或（即使只是将一些额外的文件放在应用程序的./Contents/Resources文件夹中）：

/Applications/iTunes.app/: a sealed resource is missing or invalid

...或（可能比上述消息更糟）：

/Applications/iTunes.app/: code or signature modified

代码签名可以追溯到OS 9或更早版本，但是当前的实现是在10.5 Leopard 中引入的。Ars Technica 写道：

代码签名将密码可验证的身份与代码集合相关联，并确保检测到对该代码的任何修改。不保证有关各方的利益。例如，如果您下载由Acme Inc.签名的应用程序，则除了它来自上次从其网站下载东西的声称是Acme Inc.的同一实体之外，您无法证明任何有关该应用程序的信息。

该示例实际上从消费者的角度突出了该技术的最有用的应用。在今天（在10.4 Tiger，AvB中）升级Mac OS X应用程序时，通常会提示用户重新验证是否允许该应用程序访问钥匙串以检索用户名和密码。这似乎是一项很好的安全功能，但实际上所做的只是训练Mac用户每次出现时都盲目单击“始终允许”。实际上，普通用户将要做的事情是，通过反汇编程序运行可执行文件并手动验证代码是否安全？

另一方面，已签名的应用程序可以从数学上证明它确实是您过去表示信任的同一供应商提供的同一应用程序的新版本。结果是对话框结束，要求您确认一个您没有合理方法验证其安全性的选择。

对于10.5 Leopard中的防火墙，Apple 解释：

将应用程序添加到此列表后，Mac OS X将对该应用程序进行数字签名（如果尚未签名）。如果以后修改了该应用程序，系统将提示您允许或拒绝与该应用程序的传入网络连接。大多数应用程序不会自行修改，这是一项安全功能，可将更改通知您。

[..]

允许列表中未由系统信任的证书颁发机构进行数字签名（出于代码签名目的）的所有应用程序接收传入的连接。Leopard中的每个Apple应用程序均已由Apple签名，并允许接收传入的连接。如果您希望拒绝经过数字签名的应用程序，则应先将其添加到列表中，然后再明确拒绝它。

在10.6 Snow Leopard中，后者更为明确（可以禁用），因为“自动允许签名的软件接收传入的连接。允许由有效证书颁发机构签名的软件提供从网络访问的服务”。

^{（在10.6中，将10.5.1选项“允许所有传入连接”，“仅允许基本服务”和“设置特定服务和应用程序的访问权限”修改为“阻止所有传入连接”或列表的选项。允许的应用程序和选项“自动允许签名的软件接收传入的连接”和“启用隐藏模式”。在10.5.1更新之前，“仅允许基本服务”实际上称为“阻止所有传入的连接”。）}

对于（Apple）应用程序，如果某些原因破坏了其原始签名，则可能无法保留该临时签名，并且已知这对configd，mDNSResponder和racoon 造成了麻烦。

一个代码签名将“破坏”应用程序的示例：

• 如果Keychain Access.app检测到密码被篡改，将不允许您查看密码。

来源：Apple邮件列表和Jaharmi的不真实

我可以告诉您的是Candybar，它是很多人使用的图标自定义应用程序，因为它更改了资源文件，因此至少破坏了Finder和Dock（可能还有其他一些核心系统应用程序）的数字签名，但到目前为止没有任何改变。因此被报告为问题。因此，使用核心OS组件进行野外采样会说-不多！

编辑：这是检查我在Snow Leopard中的Dock的代码签名的结果：

⚛$ codesign --verify --verbose /System/Library/CoreServices/Dock.app/
/System/Library/CoreServices/Dock.app/: a sealed resource is missing or invalid
/System/Library/CoreServices/Dock.app/Contents/Resources/expose-window-selection-big.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/expose-window-selection-small.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/finder.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/frontline.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_large.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_medium.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_small.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-l.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-m.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-sm.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-xl.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/trashempty.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/trashfull.png: resource modified

在rs technica的Snow Leopard评论中提供了有关Snow Leopard中代码签名的详细说明。据我所知，破坏代码签名不会真正破坏任何东西。但是，这将导致应用程序变得不受信任，这意味着必须验证其更多操作。

前几天，我正在从“磁盘工具”修复“磁盘权限”，并收到以下警告：

Warning: SUID file "System/.../ARDAgent" has been modified and will not be repaired.

因此，将会发生一些事情。我不知道那有多重要。

当前的代码签名实现是毫无牙力的，可能是为了iPhone开发人员的利益而被赶出大门。希望它在将来的某个时候成为强制性的，并且希望到那时它也变得更加容易和便宜。