Mit Wirkung vom 1. Juni 2023 hat sich die Welt der Code Signing-Zertifikate erheblich verändert. Die Zertifizierungsstellen (CAs) unternahmen einen entscheidenden Schritt und führten eine neue Anforderung für Kunden ein, die ein Code Signing-Zertifikat beantragen. Antragsteller von Code Signing-Zertifikaten mussten nun sicherstellen, dass sie die Schlüssel entweder mit einem hardware Kryptomodul-Token erworben oder einen Nachweis erbracht haben, dass der mit ihrem Certificate Signing Request (CSR) verbundene private Schlüssel in einem geeigneten Hardware Sicherheitsmodul (HSM) erzeugt wurde. In diesem Blog-Beitrag werden die Gründe für diese Änderungen, die akzeptablen Methoden der Bescheinigung und die Unterstützung von Keyfactor bei der Bewältigung dieser neuen Anforderungen erläutert.
Warum ist das so?
Wenn Sie als Unternehmen ein Artefakt wie einen Code digital signieren, bestätigen Sie damit, dass es von Ihrem Unternehmen stammt, und andere können seiner Authentizität und Integrität vertrauen. In Anbetracht der Bedeutung dieser Funktion, auf die sich andere Organisationen und Endnutzer verlassen, um sicherzustellen, dass sie nur legitime Inhalte konsumieren, ist die Branche der Ansicht, dass ein zusätzlicher Schutz erforderlich ist, um die sensiblen privaten Schlüssel zu schützen, die während des Signiervorgangs verwendet werden.
Böswillige Akteure haben es oft auf diese Signierschlüssel abgesehen, um Malware und andere bösartige Inhalte zu verbreiten. Die Erlangung eines Signierschlüssels ermöglicht es ihnen, die Identität Ihrer Organisation anzunehmen, was leider unentdeckt bleiben kann. Um dieses Risiko zu mindern, stellt die neue Anforderung sicher, dass Signierschlüssel ausschließlich in den entsprechenden kryptografischen Modulen von hardware vorhanden sind, wodurch die Möglichkeiten von Angreifern, sie zu stehlen, eingeschränkt werden. Im Bereich der Cybersicherheit gibt es immer einen Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit, und in diesem Fall ist die Branche der Ansicht, dass die Vorteile des zusätzlichen Schutzes die Belastung durch die Änderung der Verwendung von Code-Signierschlüsseln überwiegen.
Was sind akzeptable Bescheinigungsmethoden?
Eine umfassende Liste und detaillierte Informationen finden Sie im CAB Forum's Code Signing Baseline Requirements Dokument. Um verschiedenen Umständen Rechnung zu tragen, haben die Mitglieder des CAB-Forums mehrere Optionen für die Bescheinigung vorgesehen. Hier sind ein paar Beispiele:
- Die Zertifizierungsstelle (CA) stellt ein geeignetes Hardware Kryptomodul mit vorgenerierten Schlüsselpaaren zur Verfügung, die mit dem Hardware Kryptomodul erzeugt wurden.
- Die Gegenzeichnung von Zertifikatsanträgen, die mit einem Herstellerzertifikat verifiziert werden können, wird als Schlüsselbestätigung bezeichnet. Dies zeigt an, dass der private Schlüssel auf nicht exportierbare Weise mit einem geeigneten Hardware Crypto Module erzeugt wurde.
- Der Abonnent stellt einen geeigneten Bericht aus einer Cloud-basierten Schlüsselschutzlösung zur Verfügung und konfiguriert die Ressourcen, die den privaten Schlüssel in einem geeigneten Hardware Crypto Module schützen.
In der Regel ist die Option 2 aus verfahrenstechnischer Sicht die bequemste. Dabei wird die Public Key Infrastructure (PKI) verwendet, um die CSR mit einem Zertifikat zu signieren, das an den HSM-Hersteller gekoppelt ist. Diese Methode ermöglicht die programmatische Erzeugung einer Schlüsselbescheinigung, die zusammen mit dem CSR von der überprüften Partei vorgelegt werden kann, um die Ausstellung eines Zertifikats zu beantragen. Damit dieser Ansatz von HSM-Herstellern, Zertifizierungsstellen und anderen Stellen genutzt werden kann, ist jedoch ein vereinbarter Standard für die Erzeugung der Bescheinigung erforderlich. Die IETF und andere Gruppen bemühen sich derzeit um die Einführung dieses Standards, aber es kann noch einige Zeit dauern, bis er vollständig implementiert ist und von allen Parteien unterstützt wird.
Für diejenigen, die ihre eigenen privaten Schlüssel für Code-Signing-Zertifikate erzeugen möchten, gibt es alternative Methoden, um die Anforderungen zu erfüllen. Dazu gehört die elektronische oder papiergestützte Berichterstattung, die die Überprüfung und Gewährleistung bietet, dass der private Schlüssel in einem geeigneten HSM erzeugt wurde.
Wenn Sie sich eingehender mit den Details und umfassenden Richtlinien befassen möchten, können Sie sich auf die vom CAB Forum dargelegten Code Signing Baseline Requirements beziehen. Sie können das Dokument hier aufrufen: Grundlegende Anforderungen (Code Signing) - CAB Forum.
Wie kann Keyfactor helfen?
Keyfactor kann unsere Signum SaaS-Kunden durch die Erstellung von Berichten unterstützen, die bestätigen, dass die über Signum erzeugten Signierschlüssel in konformen HSMs gespeichert sind. Sobald ein von den CAs vereinbarter Standard für eine überprüfbare HSM-Bescheinigung fertiggestellt ist, plant Keyfactor , diese Funktion in alle unsere Signing-Produkte, einschließlich Signum und SignServer, zu implementieren .
Schlussfolgerung
Die kürzlich vorgenommenen Änderungen an den Anforderungen für das Signieren von Code zielen darauf ab, die Sicherheit und Vertrauenswürdigkeit der software Distribution zu verbessern. Indem sie die Verwendung von hardware Kryptomodulen vorschreiben und eine Bescheinigung vorsehen, gehen diese Anforderungen auf die Bedenken der Benutzer ein und stärken die Integrität der signierten Objekte. Bleiben Sie dran für weitere Einblicke, Anleitungen und Entwicklungen im Bereich Code Signing. Durch diese Änderungen wollen wir ein software Ökosystem aufbauen, das sicherer und vertrauenswürdiger ist und die Interessen von Unternehmen und Endbenutzern gleichermaßen schützt.
