A partir del 1 de junio de 2023, se produjo un cambio significativo en el mundo de los certificados de firma de código. Las autoridades de certificación (CA) dieron un paso decisivo al introducir un nuevo requisito para los clientes que solicitasen un certificado de firma de código. Los solicitantes de certificados de firma de código ahora tenían que asegurarse de que adquirían las claves utilizando un token de módulo criptográfico hardware o proporcionaban una verificación para demostrar que la clave privada asociada a su solicitud de firma de certificado (CSR) se había generado en un módulo de seguridad Hardware (HSM) adecuado. El propósito de esta entrada de blog es explorar las razones que hay detrás de estos cambios, los métodos aceptables de atestación y cómo Keyfactor puede ofrecer apoyo para navegar por estos nuevos requisitos.
¿Por qué ocurre esto?
Como organización, cuando firma digitalmente un artefacto como un código, está afirmando que procede de su organización, y los demás pueden confiar en su autenticidad e integridad. Teniendo en cuenta la importancia de esta función, en la que confían otras organizaciones y usuarios finales para asegurarse de que consumen únicamente contenidos legítimos, el sector cree que es necesaria una protección adicional para salvaguardar las claves privadas sensibles utilizadas durante el proceso de firma.
A menudo, los delincuentes utilizan estas claves de firma para distribuir malware y otros contenidos maliciosos. Obtener una clave de firma les permite asumir la identidad de su organización, lo que, por desgracia, puede pasar desapercibido. Para mitigar este riesgo, el nuevo requisito garantiza que las claves de firma existan únicamente dentro de los módulos criptográficos apropiados de hardware , lo que limita la capacidad de los adversarios para robarlas. En ciberseguridad, siempre hay un equilibrio entre facilidad de uso y seguridad, y en este caso, la industria cree que los beneficios de la protección adicional superan la carga de cambiar cómo se utilizan las claves de firma de código.
¿Cuáles son los métodos de certificación aceptables?
Para obtener una lista completa e información detallada, consulte el documento del Foro CAB Requisitos básicos para la firma de códigos. Para adaptarse a diversas circunstancias, los miembros del Foro CAB han incluido múltiples opciones de atestación. He aquí algunos ejemplos:
- La Autoridad de Certificación (CA) proporciona un Módulo Crypto Hardware adecuado con Pares de Claves pregenerados, generados utilizando el Módulo Crypto Hardware .
- El suscriptor contrafirma las solicitudes de certificado que pueden verificarse mediante un certificado del fabricante, lo que se conoce comúnmente como atestación de clave. Esto indica que la clave privada se ha generado de forma no exportable utilizando un módulo Crypto adecuado de Hardware .
- El suscriptor proporciona un informe adecuado de una suscripción a una solución de protección de claves basada en la nube y una configuración de recursos, que protege la clave privada en un módulo Crypto adecuado de Hardware .
En general, la opción más conveniente desde el punto de vista del proceso es la opción 2. Consiste en utilizar una infraestructura de clave pública (PKI) para firmar la CSR con un certificado que encadene al fabricante del HSM. Este método permite generar mediante programación un certificado de clave, que la parte verificada puede proporcionar junto con la CSR para solicitar la emisión del certificado. Sin embargo, para que este método pueda aplicarse a todos los fabricantes de HSM, autoridades de certificación y otras entidades, es necesario contar con una norma consensuada para generar la atestación. Se está trabajando con el IETF y otros grupos para establecer esta norma, pero puede pasar algún tiempo antes de que se aplique plenamente y cuente con el apoyo de todas las partes.
Por otra parte, quienes deseen generar sus propias claves privadas para los certificados de firma de código disponen de métodos alternativos para cumplir los requisitos. Entre ellos se incluye la notificación electrónica o en papel, que ofrece verificación y garantía de que la clave privada se generó en un HSM adecuado.
Para profundizar en los detalles y las directrices exhaustivas, puede consultar los Requisitos básicos para la firma de códigos esbozados por el Foro CAB. Puede acceder al documento aquí: Requisitos básicos (firma de código) - Foro CAB.
¿Cómo puede ayudar Keyfactor ?
Keyfactor puede ayudar a nuestros clientes de Signum SaaS generando informes que confirmen que las claves de firma generadas a través de Signum se almacenan en HSM conformes. En cuanto se finalice un estándar acordado por las CA para la atestación verificable de HSM, Keyfactor planea implementar esa funcionalidad en todos nuestros productos de firma, incluidos Signum y SignServer.
Conclusión
Los recientes cambios introducidos en los requisitos de firma de código pretenden mejorar la seguridad y fiabilidad de la distribución de software . Al imponer el uso de módulos criptográficos de hardware y proporcionar certificados, estos requisitos responden a las preocupaciones de los usuarios y refuerzan la integridad de los objetos firmados. Permanezca atento para conocer más detalles, orientaciones y novedades sobre la firma de código. Con estos cambios, avanzamos hacia el cultivo de un ecosistema software más seguro, digno de confianza y dedicado a salvaguardar los intereses tanto de las organizaciones como de los usuarios finales.