Top 10 Code Signing Tools für 2021, OS und Commercial

Eine digitale Signatur ist ein kryptografisches Artefakt, das die Authentizität und Integrität der signierten Daten bestätigt. Algorithmen für digitale Signaturen verwenden einen privaten Schlüssel, um Signaturen zu erzeugen, und einen zugehörigen öffentlichen Schlüssel, um sie zu validieren. Nur jemand, der den privaten Schlüssel kennt, kann eine digitale Signatur erzeugen, und jeder kann ihre Authentizität mit dem öffentlichen Schlüssel überprüfen.

Digitale Signaturen können zum Signieren jeder Art von Daten verwendet werden, und Tools zum Signieren von Code nutzen sie, um die Integrität und Authentizität von software zu überprüfen. Indem eine digitale Signatur zusammen mit dem Code geliefert wird, kann der Ersteller überprüfen, ob der Code authentisch ist und seit der Erstellung der Signatur nicht verändert wurde. Codesignaturen sind die Grundlage für die Entscheidung der Betriebssysteme, ob ein bestimmtes Programm "vertrauenswürdig" ist oder nicht. Auf einigen Plattformen kann software ohne eine Signatur eines vertrauenswürdigen öffentlichen Schlüssels nicht einmal ausgeführt werden.

Tools zum Signieren von Code funktionieren ähnlich wie Tools zum Signieren von Dokumenten, aber sie dienen unterschiedlichen Zwecken. Ein Tool zur Unterzeichnung von Dokumenten (wie Docusign) verwendet digitale Signaturen, um sicherzustellen, dass alle Parteien eines Dokuments den Bedingungen zugestimmt haben und dass das Dokument seitdem nicht mehr geändert wurde. Ein Tool zum Signieren von Code verwendet digitale Signaturen, um zu beweisen, dass der Code tatsächlich von dem vermeintlichen Entwickler erstellt und seither nicht mehr verändert wurde. Das eine Tool wird meist für PDFs verwendet, das andere für ausführbaren Code.

Sichere Codesignatur-Tools ermöglichen es Entwicklern, eine digitale Signatur an ihren Code anzuhängen, die verschiedene Vorteile bietet. Einige häufige Anwendungsfälle für Codesignaturen sind:

• Authentifizierung von Code: Eine Codesignatur bestätigt, dass ein Teil von software tatsächlich von seinem angeblichen Hersteller erstellt wurde. Dies hilft, sich vor Trojanern und anderer Malware zu schützen, die sich als legitime software ausgeben, um Zugang zu einem Computer zu erhalten.
• Überprüfung der Integrität von Software : Eine digitale Signatur ist nur dann gültig, wenn die signierten Daten seit der Erstellung der Signatur nicht verändert wurden. Eine Codesignatur bestätigt, dass software nicht verändert wurde, um bösartige oder anderweitig unerwünschte Funktionen einzuschließen.
• Schutz vor Angriffen auf die Lieferkette: Bei Angriffen auf die Lieferkette wie SolarWinds wird legitimer Code so verändert, dass er Malware enthält. Codesignaturen können die Durchführung dieser Angriffe erschweren, da der Angreifer seinen bösartigen Code signieren lassen muss, um vertrauenswürdig zu sein.

Damit diese Vorteile zum Tragen kommen, muss der Prozess der Codesignierung jedoch sicher sein. Wenn sich ein Angreifer Zugang zu Signierschlüsseln verschaffen oder seinen bösartigen Code von einer Organisation signieren lassen kann, erscheint der bösartige Code für die Benutzer legitim.

Dies geschah im Fall von SolarWinds und unterstreicht die Notwendigkeit, dass Signierschlüssel stark geschützt werden müssen. Gleichzeitig müssen Code Signing Tools eine schnelle, reibungslose Signaturerstellung bieten, um DevOps-Prozesse nicht zu behindern.

Für das Code Signing gibt es eine Vielzahl verschiedener Tools, von denen viele für bestimmte Anwendungsfälle entwickelt wurden, z. B. für den Schutz von JAR-Dateien oder Images virtueller Maschinen. Dies sind die zwölf am häufigsten verwendeten Tools zur Erzeugung von Codesignaturen.

Keyfactor Code Assure ermöglicht es Entwicklern, Code von jedem beliebigen Ort aus zu signieren und gleichzeitig sensible Verschlüsselungsschlüssel angemessen zu schützen.

Kernkompetenzen 

• Reibungsloses Signieren von Code ohne die Notwendigkeit, sensible Schlüssel zu verwalten
• Kryptografisch geschützte Verschlüsselungscodes hardware
• Sichtbarkeit aller Code Signing-Aktivitäten durch eine einzige Glasscheibe
• Richtlinienbasierte Kontrollen zum Blockieren nicht autorisierter Workflows
• Unterstützung für Code Signing über APIs, Konsole oder entfernte Dienstprogramme

PrimeKey SignServer bietet PKI-basiertes Signieren für Dokumente, PDFs und Code. Das Unternehmen bietet mehrere Versionen an, darunter open-source, Enterprise und Cloud.

Kernkompetenzen 

• Open-source Code-Signierwerkzeug
• Schutz von Signierschlüsseln in Hardware Sicherheitsmodul (HSM)
• Serverseitige Code-Signierung in appliance und Cloud-basierten Formfaktoren

SignTool ist ein Microsoft Code Signing Tool, das unter Windows verfügbar ist.

Kernkompetenzen 

• Verfügbar als Teil des Windows SDK
• Bietet command-line code signing
• Wählt das beste Zertifikat anhand der angegebenen Optionen aus

jarsigner ist ein von Oracle entwickeltes Code-Signierungs-Tool, das die Code-Signierung und Signaturprüfung für Java-Archivdateien (JAR) ermöglicht.

Kernkompetenzen 

• Native Signaturen für JAR-Dateien
• Möglichkeit, signierten Code auf Android-Geräten auszuführen

Mit Docker trust sign können Tags digital signiert werden, um signierte Repositories zu erstellen.

Kernkompetenzen 

• Fähigkeit, Docker-Images zu signieren
• Überprüfung der Integrität und Authentizität von Bildern auf der Client-Seite oder zur Laufzeit

APK signer ist als Teil der Android SDK Build Tools verfügbar und ermöglicht die Erstellung und Überprüfung von Signaturen für Android-Geräte.

Kernkompetenzen 

• Digitale Signaturen für APKs
• Vertrauenswürdigen Code auf Android-Geräten ausführen

Mit iOS App Signer können iOS-Anwendungen signiert und in ipa-Dateien gebündelt werden, um auf iOS-Geräten ausgeführt zu werden.

Kernkompetenzen 

• Ermöglicht die Erstellung von signierten iOS-Apps
• Unterstützung für Mac- oder Online-Signaturerstellung

GaraSign ist ein Code Signing Tool für Unternehmen, das von Garantir entwickelt wurde, um schnelles Code Signing zu ermöglichen und gleichzeitig sensible Verschlüsselungsschlüssel zu schützen.

Kernkompetenzen 

• Sensible Verschlüsselungsschlüssel werden durch ein HSM geschützt
• Integration in gängige CI/CD-Pipelines software
• Client-seitiges Hashing verbessert die Geschwindigkeit der Netzwerkübertragung und der Unterzeichnung
• Überprüft die Authentizität von Hashes durch Erstellung von Repo-Code und Vergleich von Hashes

SignPath bietet Lösungen für das Signieren von Code vor Ort oder als Service an.

Kernkompetenzen 

• Integration in CI/CD-Pipelines
• Durchsetzung von Sicherheitsrichtlinien für automatisierte Code-Signierungsprozesse
• Bietet eine Herkunftsüberprüfung für software Artefakte
• Verschachtelte Signierung aller Dateien innerhalb eines Pakets

Unbound Key Control ist eine software-basierte Codesignierungslösung, die von Unbound Tech entwickelt wurde.

Kernkompetenzen 

• Sicherheit auf HSM-Ebene für Schlüssel, die in software
• Integration in DevSecOps-Prozesse
• Auditing-Tools für Code-Signierungsaktionen
• Plattformunabhängige Lösung für zentralisiertes Code Signing Management