Le 1er juin 2023, un changement important est intervenu dans le monde des certificats de signature de code. Les autorités de certification (AC) ont franchi une étape décisive en introduisant une nouvelle exigence pour les clients souhaitant obtenir un certificat de signature de code. Les demandeurs de certificats de signature de code doivent désormais s'assurer qu'ils ont acquis les clés à l'aide d'un jeton de module cryptographique hardware ou qu'ils ont fourni une vérification démontrant que la clé privée associée à leur demande de signature de certificat (CSR) a été générée au sein d'un module de sécurité Hardware (HSM) approprié. L'objectif de ce billet de blog est d'explorer les raisons de ces changements, les méthodes d'attestation acceptables et la façon dont Keyfactor peut offrir une assistance pour naviguer dans ces nouvelles exigences.
Pourquoi cela se produit-il ?
En tant qu'organisation, lorsque vous signez numériquement un artefact tel qu'un code, vous affirmez qu'il provient de votre organisation et que les autres peuvent se fier à son authenticité et à son intégrité. Compte tenu de l'importance de cette fonction, sur laquelle d'autres organisations et utilisateurs finaux s'appuient pour s'assurer qu'ils ne consomment que du contenu légitime, l'industrie estime qu'une protection supplémentaire est nécessaire pour protéger les clés privées sensibles utilisées au cours du processus de signature.
Les acteurs malveillants ciblent souvent ces clés de signature pour distribuer des logiciels malveillants et d'autres contenus malveillants. L'obtention d'une clé de signature leur permet d'usurper l'identité de votre organisation, ce qui peut malheureusement passer inaperçu. Pour atténuer ce risque, la nouvelle exigence garantit que les clés de signature existent uniquement dans les modules cryptographiques appropriés de hardware , ce qui limite la capacité des adversaires à les voler. En matière de cybersécurité, il faut toujours trouver un compromis entre la facilité d'utilisation et la sécurité et, dans ce cas, l'industrie estime que les avantages de la protection supplémentaire l'emportent sur le fardeau que représente la modification du mode d'utilisation des clés de signature de code.
Quelles sont les méthodes d'attestation acceptables ?
Pour obtenir une liste complète et des informations détaillées, veuillez consulter le document du Forum CAB intitulé Exigences de base en matière de signature de code du Forum CAB. Pour tenir compte de diverses circonstances, les membres du Forum CAB ont inclus plusieurs options d'attestation. En voici quelques exemples :
- L'autorité de certification (AC) fournit un module cryptographique Hardware approprié avec des paires de clés pré-générées, générées à l'aide du module cryptographique Hardware .
- L'abonné contre-signe les demandes de certificat qui peuvent être vérifiées à l'aide d'un certificat du fabricant, communément appelé attestation de clé. Cela indique que la clé privée a été générée de manière non exportable à l'aide d'un Crypto Module Hardware approprié.
- L'abonné fournit un rapport approprié de l'abonnement et de la configuration des ressources d'une solution de protection des clés basée sur l'informatique en nuage, qui protège la clé privée dans un module cryptographique approprié Hardware .
En général, l'option la plus pratique du point de vue du processus est l'option 2. Elle implique l'utilisation d'une infrastructure à clé publique (PKI) pour signer la RSC avec un certificat qui est lié au fabricant du HSM. Cette méthode permet de générer de manière programmatique une attestation de clé, qui peut être fournie avec la RSC par la partie vérifiée pour demander l'émission d'un certificat. Toutefois, une norme convenue pour la génération de l'attestation est nécessaire pour que cette approche puisse être étendue aux fabricants de HSM, aux autorités de certification et à d'autres entités. Des efforts sont en cours avec l'IETF et d'autres groupes pour établir cette norme, mais il faudra peut-être un certain temps avant qu'elle ne soit pleinement mise en œuvre et soutenue par toutes les parties.
Par ailleurs, pour ceux qui souhaitent générer leurs propres clés privées pour les certificats de signature de code, il existe d'autres méthodes pour répondre aux exigences. Il s'agit notamment des rapports électroniques ou sur papier, qui permettent de vérifier et de garantir que la clé privée a été générée dans un HSM approprié.
Pour approfondir les détails et les lignes directrices complètes, vous pouvez vous référer aux Exigences de base pour la signature des codes définies par le Forum CAB. Vous pouvez accéder au document ici : Exigences de base (signature de code) - Forum CAB.
Comment Keyfactor peut-il vous aider ?
Keyfactor peut aider ses clients SaaSSignum en générant des rapports confirmant que les clés de signature générées par Signum sont stockées dans des HSM conformes. Dès qu'une norme convenue par les autorités de certification pour l'attestation vérifiable des HSM sera finalisée, Keyfactor prévoit de mettre en œuvre cette fonctionnalité dans tous ses produits de signature, y compris Signum et SignServer.
Conclusion
Les récentes modifications apportées aux exigences en matière de signature de code visent à renforcer la sécurité et la fiabilité de la distribution de software . En imposant l'utilisation des modules cryptographiques hardware et en fournissant une attestation, ces exigences répondent aux préoccupations des utilisateurs et renforcent l'intégrité des objets signés. Restez à l'écoute pour plus d'informations, de conseils et de développements dans le domaine de la signature de code. Grâce à ces changements, nous nous efforçons de cultiver un écosystème software plus sûr, digne de confiance et dédié à la sauvegarde des intérêts des organisations et des utilisateurs finaux.
