发布日期:2025-04-27 浏览次数:
2023 年 6 月,CA/B 论坛对其代码签名要求进行了重大更新,直接影响依赖公众信任的证书颁发机构 (CA) 进行软件签名和保护的开发者、DevOps 团队和企业。这些更新于 2023 年 6 月 1 日生效,要求将代码签名私钥安全地存储并保护在经过认证的硬件安全模块 (HSM) 中。此更改同时影响扩展验证 (EV)证书和非 EV 证书。
本文将深入探讨新代码签名要求的技术方面,概述组织可能面临的挑战,并解释遵守更新标准所需的步骤。
这些新要求源于对软件开发中更严格的安全实践的需求。随着网络攻击日益复杂,从软件签名的那一刻起,确保其完整性至关重要。在 HSM(硬件安全模块\加密机) 中保护代码签名私钥可以显著降低密钥泄露的风险,因为 HSM 具有防篡改设计,可以为加密操作提供安全的环境。
自 2023 年 6 月 1 日起,所有证书请求者必须使用符合以下标准的 HSM:
FIPS 140-2Level 2(或以上)
通用标准 CC EAL 4+
这些认证被广泛认可为安全加密模块的行业标准,确保私钥在无法绕过或篡改的硬件环境中受到保护。
虽然使用HSM进行代码签名对于安全性来说是一个积极的举措,但它带来了一些需要解决的技术挑战:
组织面临的第一个障碍是证明其私钥安全地存储在 HSM 中。此证明对于从CA获取代码签名证书至关重要。虽然许多 CA 提供基于 USB 的 HSM 作为解决方案,但对于在云端运营或有大规模代码签名需求的企业来说,这可能较为繁琐。对于分布在不同地区的团队或需要快速进行大规模签名操作的企业来说,USB HSM 并非理想之选。
一个更具可扩展性的选择是使用基于网络的 HSM,它们可以是本地部署的,也可以从云提供商处租用。Luna Network HSM、Luna Cloud HSM的解决方案都是可行的选择。但是,必须确保您选择的 HSM 支持 CA 所需的验证方法,例如密钥认证(即确认私钥位于 HSM 中)。
一旦您的私钥被安全地存储在 HSM 中,管理它们就会变得更加复杂。HSM 的设计初衷是将私钥保存在其安全环境中,这意味着您无法直接导出密钥用于软件。相反,您需要通过中间层与 HSM 进行交互,例如:
这些操作需要专门的软件和加密工具。此外,您还需要确保密钥的访问权限受到严格控制。在 HSM 上执行的每个操作(例如,密钥使用、证书颁发)都必须记录并审核,以符合安全最佳实践。
最具技术挑战之一是将 HSM 与跨平台使用的各种代码签名工具集成。大多数组织使用第三方工具进行代码签名,例如:
使用 HSM 时,集成这些工具需要使用特定于平台的加密服务提供商 (CSP)。例如:
这些集成可能比较棘手,因为需要配置签名工具才能通过合适的服务提供商与 HSM 进行交互。这通常需要自定义配置和测试,以确保无缝运行。
优化 CI/CD 管道的性能
对于现代 DevOps 环境来说,速度和效率至关重要。如果配置不当,在代码签名流程中引入 HSM 可能会降低流程速度。许多团队最初采用的常见方法是上传待签名数据,执行签名操作,然后下载签名结果。然而,这种方法效率低下,会消耗大量带宽并造成延迟。
为了优化此流程,许多组织已转向客户端哈希算法。使用客户端哈希算法,代码在发送到 HSM 进行签名之前会在客户端进行哈希处理,从而减少传输的数据量并加快签名流程。但是,此方法要求您的加密服务提供商和签名基础架构都支持此功能。
我们专注于帮助企业满足 CA/B 论坛代码签名要求。以下是我们如何帮助您顺利完成这一过渡:
HSM产品选型和集成:无论您选择基于 USB 还是基于网络的 HSM,我们都可以协助您选择最适合您需求的解决方案并指导您完成集成过程。
密钥管理解决方案:我们提供在 HSM 内安全管理您的私钥的专业知识,确保所有密钥和证书操作都安全执行并符合行业标准。
更新后的 CA/B 论坛代码签名要求标志着软件开发生命周期内向更强大的安全实践迈出了关键一步。虽然过渡到基于 HSM 的代码签名会带来技术挑战,但在提升安全性和完整性方面的优势是毋庸置疑的。通过有效管理HSM集成、优化密钥管理工作流程并确保 CI/CD 流程的精简性能,您可以在保持开发效率的同时满足新标准。
揽阁信息将指导您完成整个过程的每个步骤,确保您的代码签名实践安全且完全符合最新的行业标准。我们的安全专家拥有20年的产品经验和行业经验,可为您提供定制化的代码签名解决方案,欢迎与我们联系获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
