簡単なセキュリティ手段として、ダウンロードしたプログラムの更新パッケージのデジタル署名をその公開鍵と照合して、それが私からのものであることを確認していました。ただし、安価なコード署名証明書 (Tucows) を使用しているため、既存の証明書を更新できず、更新が必要になるたびにキーが変更されます。
したがって、より信頼性の高い手段は、署名済みアセンブリ (UAC ダイアログに表示される) に埋め込まれた組織情報を、既知の組織文字列に対して検証することです。これは引き続き同じであるためです。
デジタル署名されたアセンブリからこの情報を取得する方法を知っている人はいますか?
キーを使用してアセンブリに厳密な名前が付けられていることを確認するだけで十分ではありませんか? Authenticode は主に、(認証機関の努力により) 本人であることを識別できるエンド ユーザーに利益をもたらします。私の考えでは、あなたの状況では、単純な厳密な名前よりも認証コード証明書に追加のセキュリティはありません。
厳密な名前の方が検証がはるかに簡単で、キーの変更について心配する必要はないと思います。
アセンブリが Authenticode テクノロジと X.509 証明書 (厳密な名前だけでなく) を使用して署名されていると仮定すると、証明書を抽出して検証するには、Authenticode リーダー コード (またはコンポーネント) が必要です。その後、証明書の SubjectName または SubjectRDN レコードのいずれかのフィールドに組織名が表示されます。
PKIBlackbox パッケージでAuthenticode リーダー クラスと証明書操作クラスを提供しています。