Anfang 2017 hat Microsoft für Code-Signaturen die Richtlinien erhöht. Signaturschlüssel auf Basis von Extended Validation (EV) Zertifikaten müssen in einer Hardware mit min. FIPS 140-2 Level 2-Zertifizierung generiert und genutzt werden. Das Ziel ist die Sicherstellung der Integrität und Authentizität der Applikationen und eine Minderung der Angriffsmöglichkeiten von Malware.
Mit true-Sign V können Unternehmen einfach elektronische Signaturen für Programme (Code), PDF, Office und andere Windows Applikationen erstellen. Die Lösung ist einfach zu installieren und kann unter Anwendung von Windows Single-Sign-On genutzt werden. Der zu signierende Code oder die zu signierenden Dokumente verlassen den PC des Benutzers nie. Die Vertraulichkeit ist zu 100% sichergestellt.
Der true-Sign V Service wird On-Prem mit einer FIPS konformen HSM betrieben.
Code Signing ist der Prozess der digitalen Signatur von ausführbaren Dateien und Skripts, um die Identität des Software-Herausgebers zu bestätigen und sicherzustellen, dass der Code seit der Signierung nicht verändert oder beschädigt wurde.
Öffentlich vertrauenswürdige Zertifizierungsstellen (CAs) bestätigen die Identität der Unterzeichner und binden ihren öffentlichen Schlüssel an ein Code-Signing-Zertifikat. Das Zertifikat wird verwendet, um die Validierung von Code-Signaturen für ein vertrauenswürdiges Root-Zertifikat in weit verbreiteten Anwendungen wie Windows oder Java zu unterstützen.
CAs und Browser haben Standards entwickelt, um Code-Signing-Zertifikate zu verwalten und auszustellen. Die Standards stellen sicher, dass Anwendungen verifiziert werden und Code-Signing-Spezifikationen den neuesten kryptografischen Anforderungen entsprechen.
Die grösste Herausforderung beim Code-Signing ist der Schutz des privaten Signaturschlüssels, der mit dem Code-Signing-Zertifikat verbunden ist. Wenn ein Schlüssel kompromittiert wird, verliert das Zertifikat an Vertrauen und Wert und gefährdet die Software, die Sie bereits signiert haben. Die folgende Tabelle zeigt sieben bewährte Methoden für Code Signing.
Best Practices | Sicherheitsmassnahmen von true-Sign V und verwandten Prozessen |
Zugriff auf private Schlüssel minimieren
| true-Sign V kann dedizierte Code-Signing-Zertifikate pro Benutzer, Anwendung oder Build-Server verwalten. Die Authentifizierung gegenüber dem true-Sign V Server erfolgt auf Basis von X.509 Zertifikaten. Die Signaturschlüssel werden erstellt, verwendet und in einer FIPS 140-2 Level 3 konformen HSM gespeichert. |
Private Schlüssel mit kryptografischen Hardwareprodukten schützen
| true-Sign V unterstützt EV Code-Signing-Zertifikate. Die Signaturschlüssel werden in einer FIPS 140-2 Level 3 konformen HSM erstellt, verwendet und gespeichert. |
Zeitstempel-Code
| true-Sign V unterstützt Code-Signature-Anwendungen mit Zeitstempelung. |
Den Unterschied zwischen Test-Signatur und Release-Signatur verstehen
| true-Sign V unterstützt spezifische Richtlinien für Test- und Produktionszertifikate. Es kann sichergestellt werden, dass nur dedizierte Build-Server / Applikationen das Produktionszertifikat verwenden können. |
Zu signierenden Code authentifizieren
| Keyon unterstützt den Kunden bei der Einrichtung geeigneter Code Signatur-Prozesse, wozu auch die Trennung von Test- und Produktionsumgebung sowie das Scannen des Codes durch Malware vor der Signierung gehört. Jede Signaturaktivität wird von true-Sign V protokolliert. |
Virenscan vor Unterzeichnung des Codes
| Keyon unterstützt den Kunden bei der Einrichtung geeigneter Code Signatur-Prozesse, wozu auch die Trennung von Test- und Produktionsumgebung sowie das Scannen des Codes von Malware vor der Signierung gehört. |
Verwenden Sie keinen Schlüssel zu häufig (verteilen Sie das Risiko mit multiplen Zertifikaten)
| Keyon unterstützt den Kunden bei der Einrichtung entsprechender Zertifikat-Lifecycle-Prozesse. true-Sign V kann dedizierte Code Signing-Zertifikate pro Anwendung oder pro Build-Server verwalten. Zusätzlich können Code Signing-Zertifikate häufig erneuert werden, um einen guten Code, der in der Vergangenheit ausgestellt wurde, nicht zu beeinträchtigen. |
keyon AG
Schlüsselstrasse 6
CH-8645 Jona
Switzerland
Tel +41 55 220 64 00
Fax +41 55 220 64 01
info@keyon.ch