您当前的位置:   首页 > 新闻中心
从11月15日开始对OV代码签名证书和密钥进行更改
发布时间:2022-10-24 07:35:52   阅读次数:

image.png

OV代码签名证书和密钥生成方法正在大修。它们将以类似于当前颁发EV代码签名证书的过程在物理安全硬件上颁发。探索此更改对您的组织意味着什么


今年早些时候,NVIDIA 经历了当坏人获得您组织中一些最敏感的数字资产时会发生什么:代码签名证书。网络犯罪分子使用这些被盗的证书来签署他们的恶意软件。目的?为了让它看起来恶意软件程序合法地来自图形处理器公司。


防止此类攻击是CA/B论坛投票决定对代码签名证书的颁发和安装过程进行一些更改的原因。但这些变化对您的业务和代码签名操作意味着什么?


您需要知道的(OV代码签名证书更改概述)

我们不会深入研究所有细节,因为它们仍在由证书颁发机构(CA) 进行散列处理。我们在这里的目的是让您快速了解未来几个月的预期。我们将在几个月后发布另一篇博客文章,一旦我们从CA了解更多细节,我们将更多地讨论这些细节。


变更推出后会发生什么

从 11 月 15 日开始,新的和重新颁发的公众信任组织验证 (OV) 和个人验证 (IV)代码签名证书将必须由颁发证书颁发机构 (CA) 颁发或存储在预配置的安全硬件上。特别是,这包括符合FIPS140-2 2 级、通用标准 EAL 4+(或同等标准)的设备或签名解决方案(至少),例如:

  • 硬件安全模块 (HSM),云或物理设备
  • 物理安全令牌,例如USB硬件设备
  • 密钥存储和签名服务


注意:FIPS 代表联邦信息处理标准 (FIPS)。稍后我们将详细讨论符合FIPS的设备。


实际上,这意味着所有代码签名证书都将以类似于今天的EV代码签名证书的方式交付——通过USB设备交付给客户,交付给客户的硬件安全模块 (HSM) 等。(一旦各个CA宣布它们,我们将分享所有这些将如何工作的具体细节。)


但关键的一点是,您将不再需要自己完成证书签名请求 (CSR),因为所有这些技术内容都将在CA端处理。


为什么会发生这些变化

CA/浏览器论坛 (CA/B Forum)代码签名的发布和管理的基线要求 (BR)(版本 2.8)中概述了这些更改。它是通过Ballot CSC-13 — 更新订户密钥保护要求更新的,它适用于基线要求的先前版本(v. 2.7)。这里的想法是使证书的私钥与扩展验证 (EV) 代码签名证书一样安全。


要做到这一点,这意味着需要安全地存储密钥,以防止它们落入坏人(和其他未经授权的用户)之手。根据代码签名证书 BR(版本 2.8)的第 16.3.1 节订户私钥保护:

“CA必须从订户那里获得一份合同声明,即订户将使用以下选项之一在硬件加密模块中生成和保护其代码签名证书私钥,该模块的单元设计外形经认证至少符合FIPS140 -2 2 级或通用标准 EAL 4+”


什么时候正式改变

更改将发生在 2022 年 11 月 15 日星期二上午 12 点协调世界时 (UTC) — 即2022 年 11 月 14 日星期一下午 7 点美国东部标准时间 (EST) 为我们的读者。但是,需要注意的是,一些证书颁发机构(例如 DigiCert、Sectigo 等)可能会选择提前实施更改,以确保在CA/B论坛的官方截止日期之前有时间解决任何问题!


同样,一旦CA完成他们的计划,我们将分享更多细节。


谁将受到这些变化的影响

这项全行业的强制要求将影响在 11 月推出时或之后购买新OV代码签名证书的任何人。(这也可能影响当前的OV代码签名证书持有者,他们也重新颁发或更新其现有证书。)如果您是拥有 IV 代码签名证书的个人开发人员,那该怎么办?是的,这种变化也会对您产生影响。


但是,重要的是要注意,如果您在正式更改之前拥有现有的有效代码签名证书,则此更改不会以同样的方式影响您。当然,CA将不得不建议您以相同的方法之一存储您的密钥。但是您仍然可以像往常一样继续签署您的软件和其他可执行文件。


11 月之前的现有证书持有者必须向他们的CA确认他们将使用安全方法(可信平台模块、硬件加密模块或硬件安全令牌)来生成和保护他们的密钥。在 11 月推出之后,证书持有者必须确认他们将使用以下方法之一来安全地存储他们的密钥:

  • HSM 或硬件安全令牌
  • 基于云的密钥生成和保护解决方案
  • 满足CA/B论坛的基线要求第 16.2 节中概述的要求的签名服务


为什么保护您的代码签名证书和密钥很重要

代码签名是您或您的组织为您的代码、软件或其他可执行文件声明组织的数字身份的一种方式。这是看到“Your Company, Inc.”的区别。在 Windows 用户帐户控制弹出字段与“发布者:未知”警告消息。没有人希望后者在他们尝试下载或安装您的软件时显示。


从11月15日开始对OV代码签名证书和密钥进行更改(图2)

并排比较屏幕截图,显示用户尝试安装未签名(左)和数字签名(右)软件程序时的外观。左边的消息显示发布者未知,而右边的数字签名证书消息显示经过验证的发布者是 Microsoft 公司。


如果您希望人们相信您的软件是真实的并且坏人没有弄乱它,那么显示那些丑陋的警告并不是一个好看的外观。不使用它就像在您的公司名称和徽标旁边放置一个闪烁的霓虹灯,上面写着“我不值得信赖”。对您的软件进行数字签名会将您组织的身份融入您的软件和代码中,这样用户就知道它是真实的,并且自签名后就没有受到损害。


从11月15日开始对OV代码签名证书和密钥进行更改(图3)

检查数字签名的可执行文件时的外观示例。


如果不安全地存储您的密钥,您的证书可能会变得不受信任,并且如果坏人使用它以您的名义签署和分发恶意软件,您的组织就会承担责任。


11 月 15 日之后如何订购代码签名证书?

这是一个很好的问题——老实说,我们正在等待自己的最终细节。每个CA都有自己的OV代码签名证书流程。这些更改将如何发挥作用以及它们对您意味着什么,将取决于每个单独的CA。对于大多数客户来说,每个CA都将提供一个简化的订购流程,这可能看起来很像当前的EV代码签名证书流程。


我们所知道的是,这些更改可能需要使用硬件安全令牌,该令牌要么由您的CA颁发,要么您已经拥有,至少满足FIPS 140 级别 2、通用标准 EAL 4+合规性要求。一旦我们知道更多,你也会。因此,随着我们接近截止日期,请继续关注未来的后续文章。 


对于高级用户,您可以通过三个选项来配置您的证书和密钥:


1.USB令牌

硬件安全令牌通常是分配给组织内个人用户的小型且方便的设备。您可以自己购买这些,或者让证书颁发机构运送您已经安装的代码签名证书。例如,DigiCert 目前需要使用特定的安全硬件令牌来存储EV代码签名证书的私钥:SafeNet eToken 5110 CC(RSA 4096 位密钥和 ECC P-256 位密钥)。该特定设备超出了CA/B论坛列出的最低要求——它支持FIPS140-2 Level 3、CC EAL5+。


您可以使用的另一个可选令牌是 SafeNet eToken 5110+ FIPS,这是Thales今年夏天可能发布的一种新令牌。


当然,每个CA都可以选择他们将使用的令牌。大多数客户会发现使用CA提供的USB令牌是最简单、最简单的选择。因此,随着我们接近推出截止日期,我们将在未来进行更多的研究。


2. 硬件安全模块

如果您决定使用硬件安全模块(HSM/加密机)路线来存储您的私钥,那么您需要证明您使用的设备符合要求。例如,您可能必须提供显示设备的证明信:

  • 是否至少符合FIPS140 2 级或通用标准 EAL4+ (CCE 4+)
  • 支持 256 位或更大或 RSA 3072 位或更大的 ECC 密钥大小。


使用任何一种物理安全设备方法,您都需要将系统连接到组织的硬件安全模块 (HSM) 或将物理安全令牌插入设备,然后才能使用证书对代码进行签名。这允许您访问您的私钥以进行签名,该私钥安全地存储在设备上。您还必须输入您的唯一密码以及额外的安全层。


揽阁信息销售的Thales Luna HSMProtectServer HSM,均符合您对于安全合规的要求。


但是还有第三种选择,不需要您管理和保护任何物理设备或硬件令牌……


3. 代码签名服务和应用程序

您可以选择使用的另一个安全密钥存储选项是签名解决方案,例如DigiCert 的安全软件管理器 (SSM),它是 DigiCert ONE 平台的一部分。该软件使授权用户能够安全地存储和使用私钥,而无需对其进行物理访问。这意味着您的员工可以开展他们的业务,而不必担心管理一堆可能损坏、丢失或被盗的个人物理安全令牌。


最后

在揽阁信息,您可以轻松找到适合您的USB Token和HSM产品,并获取这些产品对应的解决方案,现在就来联系我们吧。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609