在我们软件驱动的世界中，信任就是一切。但是我们如何知道哪些软件我们可以信任，哪些我们不应该信任？我们有代码签名来感谢这一点。

代码签名是开发人员证明软件真实性并保证它来自合法来源且未被篡改的方式。代码签名依赖于密码学，更具体地说，依赖于所谓的代码签名证书。

本文将探讨您需要了解的有关非常重要的代码签名证书的所有信息，包括回答以下关键问题：

• 什么是代码签名证书？
  

• 代码签名证书如何工作？

• 为什么我们需要代码签名证书？

• 代码签名证书有哪些潜在漏洞？

• 管理代码签名证书的顶级工具有哪些？

• 安全团队维护代码签名证书的最佳实践是什么？

什么是代码签名证书？

代码签名证书是一种特殊的数字证书，用于标识一个组织。要完全理解什么是代码签名证书，首先要阐明证书更普遍的工作原理很重要。

证书是公钥基础设施(PKI)的重要组成部分。它们基于非对称加密，可用于验证真实性。具体而言，该证书基于公私密钥对的私钥。

签发带有证书的签名可作为一种身份验证形式并防止篡改。任何拥有相应公钥的人都可以：

1. 验证签名来自它应该来自的人
   

2. 确认包中的任何内容（代码、文档或其他任何内容）自签名发布以来没有发生任何变化。

这让我们回到代码签名证书，它是开发人员用来签署应用程序和软件的一种特殊类型的证书。代码签名证书详细说明了发布软件的组织的身份，并允许软件的任何最终用户通过以下方式验证其合法性：

1. 确认开发软件的公司
   

2. 确保软件自公司发货以来未被篡改。

代码签名证书如何工作？

代码签名证书由受信任的证书颁发机构(CA)颁发，专门用于开发人员签署代码。一旦开发人员拥有有效的代码签名证书，他们就可以使用它来签署他们实时交付到生产环境的任何代码。此签名包括证书中包含的所有信息（例如公司名称、位置等 - 将其视为数字世界的驾驶执照）以及使用证书签署代码的时间戳。

值得注意的是，如果用户尝试下载或安装没有来自受信任 CA 颁发的代码签名证书的签名的软件，大多数浏览器和设备都会发出安全警告。

代码签名证书的典型用例包括：

• 确保物联网设备的完整性
  

• 向软件发行商提交新的移动应用程序（例如，Microsoft、Google 和 Apple 都要求应用程序必须经过签名才能在其应用程序商店中列出）

• 公开发行安装软件

• 开发供内部使用的企业 IT 软件程序（这样员工就知道他们可以信任该应用程序）

许多组织使用企业 PKI 程序来管理他们的代码签名活动以及他们的SSL 证书。除了为开发人员简化代码签名过程之外，这种管理尤其重要，因为公司必须像保护任何其他私有安全元素一样保护他们的代码签名证书。

如果代码签名证书落入坏人之手，这意味着恶意方可以发布看似合法的软件。因此，任何对代码签名证书的危害都必须作为证书撤销列表(CRL) 的一部分进行报告，这将使使用该证书签名的任何内容无效。这种情况使得组织必须通过一个集中的 PKI 程序来管理和保护他们的代码签名证书。

为什么我们需要代码签名证书？

此时，所有流行的应用程序商店、操作系统等都需要使用代码签名证书对软件进行签名。但为什么会这样呢？为什么代码签名证书如此重要？

代码签名证书之所以如此重要，主要有以下三个原因：

1. 防止第三方试图更改任何代码
   

2. 让用户知道他们可以信任软件与他们的信息

3. 创建信任链以获得流畅的用户体验

1) 防止修改代码

首先，一旦软件使用代码签名证书进行签名，这意味着具有该签名的软件的任何版本都没有被第三方更改过。

确认工作主体在传输过程中没有被更改是任何加密证书的重要功能，对于代码签名证书尤其如此。这是因为对软件代码的任何更改都可能表明存在恶意活动。签名代码意味着最终用户所看到和体验的正是软件创建者的意图。

2) 让用户知道他们可以信任该软件

同样，使用代码签名证书签名的软件是最终用户信任的象征。

这种信任很重要，因为许多软件需要用户输入敏感信息才能充分利用系统。如果用户不确定他们是否可以信任该软件，他们可能会觉得输入这些细节不舒服，从而显着降低软件的功能。虽然这种信任一直很重要，但在我们的数字世界中尤其如此，在这个世界中，一切都在网上消费，而不是用户去商店购买软件。

3）建立信任链

最后，使用代码签名证书可以创建信任链，通过避免任何潜在的安全警告来提供流畅的用户体验。

这是因为签名的代码不仅在用户之间建立了信任，而且在运行该软件的任何浏览器或操作系统之间建立了信任。这意味着系统可以轻松验证软件的真实性，并帮助用户了解他们可以信任它。这方面的一个例子是，任何经过正确签名的软件都将有一个顺利的下载过程，没有安全警告，这些警告可能会给用户带来潜在的危险信号——即使它们是完全合法的。

代码签名证书有哪些潜在漏洞？

对于代码签名证书提供的所有价值，它确实具有任何组织都需要考虑的潜在漏洞领域。代码签名证书的最大漏洞领域包括：

• 密钥盗窃：与代码签名证书相关的私钥是黑客可以进行的最大窃取之一，因为获得代码签名证书的这一部分意味着他们可以创建看起来合法且来自信誉良好的新软件.
  

• 签名漏洞：如果黑客可以进入对代码签名证书具有开放访问权限的开发人员工作站，即使他们无法访问适当的私钥，他们也可以对恶意代码进行签名。一旦发生这种情况，他们可以简单地提交他们的软件以供签名和发布。

• 内部误用：人为错误始终存在安全风险，代码签名证书也不例外。如果开发人员可以公开访问相应的代码签名密钥，但不小心误用或放错了位置，他们可以为黑客渗透操作创造机会。

识别和理解这些漏洞是解决这些漏洞的第一步。从那里，您可以采取措施防范这些漏洞，包括：

平衡开发者访问权限

开发人员对代码签名证书的访问很棘手——如果您提供过多的访问权限，则该过程很容易受到攻击，但如果您提供的访问权限太少，则会在开发过程中产生摩擦，并且团队可能会规避安全策略。获得这种平衡需要：

• 对私有代码签名密钥的全面保护，使它们保持在安全的位置，并且只能由受限制的用户访问
  

• 控制对私有代码签名密钥的访问，无需开发人员处理或存储它们

• 允许基于角色的不同权限的自动化工作流程，以提高安全性并创建平稳而一致的流程

提高安全团队的可见性和控制力

安全团队在保护代码签名证书方面也发挥着重要作用，这样做的一个常见挑战是缺乏对签名过程的可见性和控制。引入可以集中可见性和控制权的技术，使安全团队可以轻松审核所有内容，这对缓解这一挑战大有帮助。具体来说，它可以帮助：

• 跟踪和监控代码签名活动
  

• 为代码签名证书和签名尝试创建审核日志

• 集中和标准化谁可以签署代码的政策

管理代码签名证书的主要工具有哪些？

从安全地管理代码签名过程到帮助开发团队生成签名，团队可以使用多种工具来管理代码签名证书及其附带的所有内容。以下是一些最佳解决方案：

• Keyfactor Code Assure：允许开发人员从任何地方签署代码，同时保护私有加密密钥。
  

• PrimeKey SignServer：为文档、PDF 和代码提供基于 PKI 的签名，具有开源、企业和云版本。

• SignTool：提供命令行代码签名作为 Microsoft 的 Windows 软件开发工具包的一部分。

• Jarsigner：允许对 Java 存档 (JAR) 文件进行代码签名和签名验证。

• Docker trust sign：允许开发人员对 Docker 镜像进行签名，并允许对标签进行数字签名以创建已签名的存储库。

• APK签名器：为 Android 设备启用签名生成和验证。

• iOS App Signer：允许对 iOS 应用进行签名和捆绑以在 iOS 设备上运行。

• Garasign：为企业应用程序提供快速的代码签名和对私有加密密钥的保护。

• SignPath：允许本地或基于服务的代码签名，并集成到 CI/CD 管道中。

• Unbound Key Control：提供基于软件的代码签名，并集成到 DevSecOps 流程中。

安全团队维护代码签名证书的最佳实践是什么？

当然，拥有合适的技术只是等式的一部分。安全团队还必须引入最佳实践来正确保护和维护代码签名证书。考虑到这一点，我们来看看需要什么。

正确保护私有代码签名密钥

鉴于私有代码签名密钥对于维护整个代码签名过程的完整性的重要性，团队可以采取的最关键的步骤之一是正确保护这些密钥。

这样做需要安全团队具有适当的可见性，以了解存在于其组织中的代码签名证书和相关私钥，并集中管理所有这些元素。此外，将这些密钥存储在经过认证的硬件安全模块或USB Token中也很重要。

适用于代码签名的产品包括：

• Luna HSM

• ProtectServer HSM

• eToken 5110 CC（940）

开发一致且安全的签名流程

代码签名过程本身可以创建一个黑客可以渗透的漏洞区域，这使得安全团队开发一致和安全的操作变得至关重要。这样做的最佳实践包括：

• 在签名过程中建立明确的角色，以确保只有授权用户才能使用代码签名证书
  

• 根据时间窗口限制代码签名活动

• 跟踪所有代码签名活动以确保策略按预期执行

实时跟踪活动还为安全团队提供了可见性，以便快速识别可能发生的任何异常情况并做出反应。

融入开发流程

确保开发人员不会规避安全策略或不小心将其暴露于风险的最佳方法是将代码签名活动集成到他们现有的 DevOps 流程中。这应该包括将任何签名工具与 DevOps 工具集成，为分布式团队启用远程签名功能，并引入必须在任何代码签名发生之前进行的检查和验证。

评估和发展最佳实践

最后，围绕代码签名证书引入安全性不应是一次性的。这是安全团队需要定期评估和随着团队需求和外部威胁形势变化而发展的东西。

这应该包括密切关注所有代码签名活动，审核所有密钥使用情况，并在任何更广泛的 PKI 证书管理活动中涵盖代码签名证书。这些持续的努力不仅可以帮助安全团队更早地发现威胁，还可以确保为保护代码签名证书而采取的所有控制措施随着时间的推移得到妥善维护。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 简化密钥和证书的审核和修复