A partir del 1 de junio de 2023, se produjo un cambio significativo en el mundo de los certificados de firma de código. Las Autoridades de Certificación (CA) dieron un paso decisivo al introducir un nuevo requisito para los clientes que solicitan un certificado de firma de código. Los solicitantes de certificados de firma de código ahora debían asegurarse de que adquirían las claves utilizando un token de módulo criptográfico de Hardware o proporcionaban una verificación para demostrar que la clave privada asociada a su Solicitud de Firma de Certificado (CSR) se había generado dentro de un Módulo de Seguridad de Hardware (HSM) adecuado. El propósito de esta publicación de blog es explorar las razones detrás de estos cambios, los métodos de atestación aceptables y cómo Keyfactor puede ofrecer apoyo para navegar por estos nuevos requisitos.
¿Por qué está sucediendo esto?
Como organización, cuando se firma digitalmente un artefacto como el código, se afirma que procede de su organización y que otros pueden confiar en su autenticidad e integridad. Considerando la importancia de esta función, de la que dependen otras organizaciones y usuarios finales para asegurarse de que consumen únicamente contenido legítimo, la industria cree que es necesaria una protección adicional para salvaguardar las claves privadas sensibles utilizadas durante el proceso de firma.
Los actores maliciosos suelen atacar estas claves de firma para distribuir malware y otros contenidos maliciosos. La obtención de una clave de firma les permite asumir la identidad de su organización, lo que, lamentablemente, puede pasar desapercibido. Para mitigar este riesgo, el nuevo requisito garantiza que las claves de firma existan únicamente dentro de módulos criptográficos de Hardware adecuados, lo que limita la capacidad de los adversarios para robarlas. En ciberseguridad, siempre hay un equilibrio entre la usabilidad y la seguridad, y en este caso, la industria cree que los beneficios de la protección adicional superan la carga de cambiar la forma en que se utilizan las claves de firma de código.
¿Cuáles son los métodos de atestación aceptables?
Para obtener una lista completa e información detallada, consulte el documento de requisitos básicos de firma de código del CAB Forum. Para adaptarse a diversas circunstancias, los miembros del CAB Forum han incluido múltiples opciones de atestación. A continuación, se presentan algunos ejemplos:
- La Autoridad de Certificación (CA) proporciona un módulo criptográfico de Hardware adecuado con pares de claves pregenerados, generados utilizando el módulo criptográfico de Hardware.
- El suscriptor contrafirma las solicitudes de certificado que pueden verificarse utilizando un certificado del fabricante, comúnmente conocido como atestación de clave. Esto indica que la clave privada se generó de forma no exportable utilizando un módulo criptográfico de Hardware adecuado.
- El suscriptor proporciona un informe adecuado de una suscripción a una solución de protección de claves basada en la nube y de la configuración de los recursos, que protege la clave privada en un módulo criptográfico de Hardware adecuado.
En general, la opción más conveniente desde el punto de vista del proceso es la opción 2. Implica el uso de una Infraestructura de Clave Pública (PKI) para firmar la CSR con un certificado que se encadena al fabricante del HSM. Este método permite generar programáticamente la atestación de claves, que puede ser proporcionada junto con la CSR por la parte verificada para solicitar la emisión del certificado. Sin embargo, se requiere un estándar acordado para generar la atestación para que este enfoque se extienda a los fabricantes de HSM, las CA y otras entidades. Se están realizando esfuerzos con el IETF y otros grupos para establecer este estándar, pero puede que pase algún tiempo antes de que se implemente y sea totalmente compatible con todas las partes.
Alternativamente, para aquellos que deseen generar sus propias claves privadas para certificados de firma de código, existen métodos alternativos disponibles para cumplir con los requisitos. Estos incluyen informes electrónicos o en papel, que ofrecen verificación y garantía de que la clave privada se generó en un HSM adecuado.
Para profundizar en los detalles y las directrices completas, puede consultar los requisitos básicos de firma de código (Code Signing Baseline Requirements) descritos por el CAB Forum. Puede acceder al documento aquí: Requisitos básicos (firma de código) – CAB Forum.
¿Cómo puede ayudar Keyfactor?
Keyfactor puede ayudar a nuestros clientes de Signum SaaS generando informes que confirmen que las claves de firma generadas a través de Signum se almacenan en HSM compatibles. Tan pronto como se finalice un estándar acordado por las CA para la atestación verificable de HSM, Keyfactor planea implementar esa funcionalidad en todos nuestros productos de firma, incluyendo Signum y SignServer.
Conclusión
Los recientes cambios implementados en los requisitos de firma de código tienen como objetivo mejorar la seguridad y la fiabilidad de la distribución de Software. Al exigir el uso de módulos criptográficos de Hardware y proporcionar atestación, estos requisitos abordan las preocupaciones de los usuarios y refuerzan la integridad de los objetos firmados. Manténgase atento para obtener más información, orientación y novedades en la firma de código. A través de estos cambios, avanzamos hacia el cultivo de un ecosistema de Software más seguro, fiable y dedicado a salvaguardar los intereses de organizaciones y usuarios finales por igual.
