021-54410609
许多违规行为和恶意软件攻击都使用欺诈性代码签名证书对证书所有者的声誉和业务造成重大损害。为了防止这种情况发生,本月早些时候,CA/B 论坛的新代码签名基线要求 (CSBR) 生效,对组织必须生成和保护代码签名证书私钥的方式进行了更改。
在当今的数字世界中,对于几乎所有向最终用户分发代码的组织来说,代码签名都是开展业务的重要组成部分。代码签名验证一组特定代码的发布者的身份,并证明它自签名后未被修改。与已签名的软件一起提供的证书是用户在安装前确定软件是否来自合法来源的关键方法。无论组织所处的用例或行业如何,都必须利用私钥安全性来使代码签名证书受到信任和重视。否则,任何可以访问合法证书所有者私钥的人都可以创建看似由该组织签名的软件。
随着近来备受瞩目的恶意软件攻击的数量成为头条新闻,CA/B 论坛通过了 Ballot CSC-13。投票要求在经过认证的硬件加密模块中保护签名密钥的证书生成和存储,目的是增强对代码签名证书私钥的保护。这些新要求于 2023年6月1日随 Ballot CSC-17正式生效。
CA/B 论坛对代码签名的新要求
CBR 颁发 EV 和非 EV 代码签名证书要求的最大变化与私钥保护有关。例如:在新要求之前,非EV密钥对可以通过软件生成,这很容易导致私钥被分发,从而导致泄露风险。现在,必须生成代码签名证书密钥对并将其存储在满足或超过 FIPS 140-2 Level 2或CC EAL 4+(通用标准)要求的HSM(硬件安全模块/加密机)中。在无法导出私钥的HSM中生成密钥对最终有助于最大限度地降低私钥泄露的风险。
新订户私钥保护要求
为确保符合这些新的 CA/B 论坛代码签名要求,证书颁发机构 (CA) 必须使用以下其中一项来安全地存储和生成其密钥:
符合规定要求的硬件加密模块
基于云的密钥生成和保护解决方案,具有以下要求:
私钥的创建、存储和使用必须保持在符合指定要求的云解决方案的硬件加密模块的安全边界内
管理私钥级别的订阅必须配置为记录对保护私钥的资源的所有访问、操作和配置更改
满足6.2.7.3要求的签约服务
新订户私钥验证要求
除了安全密钥存储之外,CA 还必须通过以下方法之一验证并确保私钥也生成并在HSM中使用:
- CA 提供带有一个或多个预生成密钥对的HSM
- 用户会签可以使用密钥证明进行验证的证书请求,表明私钥是使用HSM以不可导出的方式生成的
- 用户使用 CA 规定的加密库和合适的HSM组合
- 用户提供内部或外部 IT 审核,表明其仅使用合适的HSM来生成密钥对
- 用户提供来自基于云的密钥保护解决方案订阅和资源配置的合适报告,以在合适的HSM中保护私钥
- CA 依赖接受过 IT 和安全培训的审计员或 CISA 签署的报告,并见证在合适的HSM解决方案(包括基于云的密钥生成和保护解决方案)中创建密钥对的过程
用户同意他们使用符合第 6.2.7.3 节的 CSBR 的签名服务。
揽阁信息如何帮助您满足合规
作为Thales的合作伙伴,揽阁信息提供的HSM(硬件安全模块),有助于遵守新的 CA/B 论坛代码签名要求。Thales Luna HSM 在HSM的安全范围内安全地生成、存储和管理代码签名应用程序中使用的密钥。密钥和签名材料永远不会离开防入侵、防篡改的 FIPS 140-2 Level 3和CC EAL 4+ 认证的硬件设备。Luna HSM 还为代码签名密钥的使用提供严格的访问控制(必须将其保存在 HSM 内才能执行代码签名),并生成安全审核日志。
Luna HSM 提供灵活的部署选项,包括本地部署、即服务、云端或跨多个环境来创建混合 HSM 解决方案,而Thales仍然是提供经过 FIPS 验证的云服务的精英供应商之一硬件信任根。
25 年来,Thales一直是市场领导者,提供创新、高保证、经 FIPS 140-2 Level 3验证的 Luna HSM,以满足不断变化的风险和合规性需求。政府和世界上最值得信赖的品牌在准备后量子加密解决方案、代码签名、保护 SSL 证书以及机密性、完整性和可用性至关重要的其他用例时,依赖 Luna HSM 作为数字信任的基础。
欢迎联系我们获取更多关于HSM、代码签名等方面的资料,并与我们一起交流您面临的问题和需求。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话