Mobile2Market: Windows Mobile アプリケーションのコード署名
Mobile2Market 証明書でアプリケーションに署名する理由は?
Mobile2Market コード署名により、アプリケーションとその責任を持つ独立系ソフトウェア ベンダ (ISV) とを関連付け、悪意のあるアプリケーションを無効にすることができます。モバイル事業者が、そのネットワーク用に販売されているデバイスで動作できるようアプリケーションに署名を要求している場合がよくあります。Mobile2Market コード署名を使えば、わずか一度の署名処理で Windows Mobile アプリケーションを世界中のほぼすべてのモバイル事業者のネットワークで動作させることができます。
Mobile2Market 証明書が 2 重構造になっているため、通常のアプリケーション プログラム インターフェイス (API) を使いながらも、実行する際に特別な許可を必要とする API や動作が今まで以上に安全に利用できます。その結果、開発者はほぼすべての Windows Mobile 搭載デバイスのソケットを使用できるようになっています。
Mobile2Market 証明書の構造
Mobile2Market コード署名は、各アプリケーションに対応する ISV を指名するほか、セキュリティに関連する API や動作を制御できます。Mobile2Market 署名には次のように標準と特権の 2 つのレベルがあります。
| • | 標準アクセス : この署名ではほとんどの API を使用できますが、特権 API を使用したり、デバイス管理の権限やセキュリティ ポリシーを変更するなどの動作は制限されています。 |
| • | 特権アクセス : これは信頼性の高い署名で、すべての API およびシステムの動作を使用することができます。 |
特権および標準 API の一覧 (英語)
Windows Mobile の認証レベル
| 認証レベル | 2 層デバイス出荷時には、ほとんどの Smartphone デバイスで使える構成になっています。 | 1 層デバイス出荷時には、Pocket PC デバイス用に構成されています。 |
特権実行用として署名済み | アプリケーションは標準および特権 API を使用でき、セキュリティ保護されたレジストリの場所を変更したり、プレブートで実行できます。 | アプリケーションは標準および特権 API を使用でき、セキュリティ保護されたレジストリの場所を変更したり、プレブートで実行できます。 |
標準実行用として署名済み | アプリケーションは標準 API を使用できます。 | アプリケーションは標準および特権 API を使用でき、セキュリティ保護されたレジストリの場所を変更できます。 |
未署名 | アプリケーションは実行できない場合があります。 | アプリケーションは実行できない場合があります。 |
1 層アクセス モデルと 2 層アクセス モデル
ほとんどの Windows Mobile Standard デバイス (および Windows Mobile 5.0 Smartphone デバイス) は、次に示している 2 層アクセス モデルとして構成されています。
| • | 特権 API を使用するには、アプリケーションは特権 Mobile2Market 証明書に署名する必要があります。 |
| • | 標準 Mobile2Market 証明書に署名したアプリケーションは、ユーザーの許可を得なくても標準 API を呼び出すことができます。 |
| • | 署名していないアプリケーションは、標準 API を呼び出すことができます。ただし、初回ローディング時にユーザーの許可を得る必要があります。 |
ほとんどの Windows Mobile 6 Professional および Classic デバイス (ならびに Windows Mobile 5.0 Pocket PC デバイス) は、次に示している 1 層アクセス モデルとして構成されています。
| • | ドライバとプレブート アプリケーションを動作させるには、特権モードで署名する必要があります。 |
| • | 標準 Mobile2Market 証明書に署名したアプリケーションは、ユーザーの許可を得なくてもすべての API を呼び出すことができます。 |
| • | ほとんどの Windows Mobile 6 Professional および Classic デバイス、ならびに Windows Mobile 5.0 Pocket PC デバイスでは、初回ローディング時にユーザーの許可が得られれば署名なしのアプリケーションからでも任意の API を呼び出すことができます。ただし、将来モバイル事業者が署名なしではアプリケーションが実行できないモードでデバイスを出荷するようになる可能性があります。 |
Mobile2Market コード署名のプロセス
Windows Mobile アプリケーションのコード署名は次の手順に従って行います。
1. | Mobile2Market 証明機関である Geotrust または Verisign のどちらかでパブリッシャ アカウントを作成します。(いずれの場合も、対象サイトの“Buy Now”ボタンをクリックして、進んでください) M2M@microsoft.com への問い合わせの際には、Code Signing Letter をダウンロードして内容記載後、問い合わせメールに添付して送信ください。 問い合わせは、英語でお願いします。 |
2. | Mobile2Market 証明機関 (CA) が提供したパブリッシャ証明書にアプリケーションを署名します。 |
3. | パブリッシャ署名したアプリケーションを該当の Mobile2Market 証明機関にアップロードします。この証明機関は、アプリケーションが署名された Mobile2Market 証明書を戻します。 |
4. | Mobile2Market 署名済みのアプリケーションを配布します。 |
