eSigner: Code Signing als Service

Digitale Inhalte werden ständig online verbreitet. Jeden Tag laden wir ausführbare Skripte, Anwendungen und Dateien für eine Vielzahl von geschäftlichen und persönlichen Aktivitäten herunter. Sowohl Endbenutzer als auch Entwickler benötigen eine sichere Methode, um zu wissen, dass die verteilte Software zuverlässig und manipulationssicher ist.

Das ist wo Codesignatur kommt ins Spiel. Die meisten Computerplattformen, wie Windows, haben strenge Regeln dafür, welche Inhalte über ihre Kanäle verbreitet oder auf ihren Systemen ausgeführt werden dürfen. Es gibt eine Vielzahl von Lösungen für Softwareentwickler, um diese Regeln einzuhalten und sicherzustellen, dass der Code, den sie in die Welt schicken, nicht kompromittiert wird.

Außerdem integriert die moderne Arbeitsplatzumgebung Remote-Arbeit, asynchrone Zusammenarbeit und einen steigenden Bedarf an verteilten Team-Sharing-Optionen. Eine der robustesten und bequemsten Lösungen für das Signieren von Code und Dokumenten, die diese modernen Trends berücksichtigt, ist die Lösung von SSL.comcom eSignierer Cloud-Signatur-Service.

eSigner EV-Code-Signierung Funktionalität ist eine bequeme, schnelle und vertrauenswürdige Möglichkeit, Ihre Codesignaturen auszuführen.

BESTELLEN SIE JETZT!

Code Signing-Grundlagen

Codesignatur ist das Verfahren zum Anwenden einer digitalen Signatur auf eine Software wie eine Anwendung oder einen Treiber. Diese Signatur dient einem doppelten Zweck, um sicherzustellen, dass sowohl die Authentizität und Integrität des Codes:

  • Es bietet einen kryptografischen Nachweis der Identität des Entwicklers (Authentizität).
  • Es stellt sicher, dass der Inhalt der Software von der Erstellung bis zur Nutzung nicht manipuliert wurde (Integrität).

Die Gültigkeit des Zertifikats und der Identität des Unterzeichners wird selbst durch die digitale Signatur einer seriösen, öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) wie SSL.com bestätigt und baut so auf eine Vertrauenskette zum Stammzertifikat der CA im Truststore der Plattform. Mit dieser etablierten Vertrauenskette können Betriebssysteme und Endbenutzer sicher sein, dass Sie ein vertrauenswürdiger Entwickler sind und die Installation Ihrer Software in ihrem System sicher ist.

Die Nichtverwendung eines Codesignaturzertifikats führt zu Warnmeldungen und Fehlern, wenn ein Benutzer versucht, Ihre Software zu installieren, z. B. „Windows kann den Herausgeber dieser Treibersoftware nicht überprüfen“. Niemand möchte auf der Empfängerseite einer solchen Situation stehen, insbesondere nicht ein Entwickler. Tatsächlich erfordert die Einhaltung einer Reihe von Plattformstandards eine Codesignatur; Sie können beispielsweise keine Windows-Kernel-Modus-Treiber ohne eine EV-Codesignaturzertifikat.

Manipulationsschutz

Digitale Signaturen schützen die Integrität einer Nachricht (in diesem Fall eines Codes) durch kryptografische Hash-Funktionen. Dies sind mathematische Algorithmen, die Daten auf ein Bit-Array mit vordefinierter Größe abbilden, das als a . bezeichnet wird Hash-Wert or Nachrichtenübersicht. Kryptografische Hash-Funktionen sind Einwegfunktionen, und selbst eine kleine Änderung der ursprünglichen Nachricht führt zu erheblichen Änderungen des Hash-Werts. Wenn also ein Benutzer die Nachricht mit ihrem in der digitalen Signatur enthaltenen Hash-Wert empfängt, wendet sein Betriebssystem dieselbe Hash-Funktion auf die empfangene Nachricht an und vergleicht die beiden Digests. Wenn sie identisch sind, können sie sicher sein, dass die empfangene Nachricht nicht vom Original unterschieden wird. Wenn nicht, warnt das System sie, dass die Datei in irgendeiner Weise beschädigt ist.

nach oben

Optionen für Code-Signing

Es gibt eine Reihe von technischen Optionen für die Code-Signierung, jede mit ihren eigenen Vor- und Nachteilen in Bezug auf das angebotene Sicherheitsniveau, den Preis, die Anwendbarkeit und die Benutzerfreundlichkeit. Im Folgenden werden wir uns diese Optionen und ihre Möglichkeiten ansehen.

Ab dem 1. Juni 2023, SSL.com Die Code Signing-Zertifikate Organization Validation (OV) und Individual Validation (IV) von werden nur entweder auf USB-Tokens gemäß Federal Information Processing Standard 140-2 (FIPS 140-2) oder über unseren Cloud-Code Signing-Service eSigner ausgestellt. Diese Änderung steht im Einklang mit den neuen Schlüsselspeicheranforderungen des Certificate Authority/Browser (CA/B) Forums, um die Sicherheit für Codesignaturschlüssel zu erhöhen. Die vorherige Regelung erlaubte die Ausstellung von OV- und IV-Codesignaturzertifikaten als herunterladbare Dateien aus dem Internet. Da die neuen Anforderungen nur die Verwendung verschlüsselter USB-Tokens oder Cloud-basierter FIPS-kompatibler Hardwaregeräte zum Speichern des Zertifikats und des privaten Schlüssels zulassen, wird erwartet, dass die Fälle von Diebstahl und Missbrauch von Codesignaturschlüsseln durch böswillige Akteure erheblich reduziert werden. Klicken  diesen Link um mehr über das zu erfahren SSL.com eSigner-Cloud-Code-Signatur-Lösung.

Lokal installierte OV/IV-Zertifikate

Die erste und einfachste Möglichkeit besteht darin, eine lokal installierte Organisation validieren (OV) oder eine Person validieren zu lassen (IV). Codesignaturzertifikat und privater Schlüssel auf Ihrem Computer. Diese Arten von Zertifikaten werden von SSL.com im Dateiformat PKCS#12/PFX vertrieben und können im Zertifikatsspeicher Ihres Computers oder auf einigen Cloud-Diensten wie . installiert werden Azure Key Vault. Weitere Informationen zum Bestellen von OV/IV-Codesignaturzertifikaten bei SSL.com finden Sie unter diese Anleitung.

Der Vorteil dieser Art des Code-Signierens ist die relativ einfache Implementierung und die günstigste der verfügbaren Optionen. Es verleiht jedoch nicht die Sicherheitsstufe eines USB-Tokens, HSM oder Cloud-Signierungsdienstes (siehe unten), und diese Art der Installation ist für die Codesignatur mit Extended Validation (EV) nicht akzeptabel. Diese letzte Information ist besonders wichtig, da einige Anwendungen (insbesondere Signieren von Windows 10-Treibern) benötigen ein EV-Zertifikat.

Weitere Informationen zum Thema OV/IV versus EV-Zertifikate finden Sie hier Welches Code Signing-Zertifikat benötige ich? EV oder OV?
nach oben

USB-Token

Eine sicherere Codesignaturoption ist die Verwendung eines Hardware-Sicherheitsmoduls (HSM) in physischer Form. Das am häufigsten für Codesignierung verwendete HSM ist ein USB-Token, wie zFIPS 140-2-validierte Sicherheitsschlüssel-USB-Token SSL.com verwendet, um EV-Codesignaturzertifikate zu verteilen. Dieses Token ist für die Speicherung der Zertifikate und Schlüssel eines Benutzers verantwortlich und ist dank seiner Hardwarearchitektur und seiner Verpackung auch sicher gegen Manipulation und Schlüsselkompromittierung. Der USB-Token wird wie ein Schlüssel verwendet, der physisch in einen Computer eingeführt werden muss, um eine Software digital zu signieren. Für den Zugriff auf das Token ist für zusätzliche Sicherheit zusätzlich eine PIN erforderlich.

Diese Methode ist derzeit die gebräuchlichste für EV-Code-Zertifikate, da sie eine hohe Sicherheit bietet und von Benutzern einfach implementiert werden kann. Diese kleinen Hardware-Token sind auch leicht zu transportieren und man kann von überall aus signieren.

Diese Methode hat jedoch ihre Mängel. Zunächst einmal kann es für eine Organisation recht teuer sein, diese Token zu kaufen und zu ersetzen. Insbesondere in der heutigen Remote-Arbeitsumgebung kann die Verteilung und Pflege von Hardware-Token eine ziemliche logistische Herausforderung für eine IT-Abteilung darstellen, die sowohl finanzielle als auch personelle Ressourcen kostet. Darüber hinaus können diese Token gestohlen werden oder verloren gehen, was zu Sicherheitslücken mit einem potenziell hohen Risiko einer Kompromittierung und hohen Wiederbeschaffungskosten führt. Schließlich sind sie im Vergleich zu Cloud-basierten Optionen für die gemeinsame Nutzung zwischen Entwicklern unbequem.

Für die Bequemlichkeit unserer Kunden können YubiKey-Token separat von SSL.com zur Verwendung mit jedem gekauft werden EV-Codesignatur or Signieren von Dokumenten Zertifikat – einschließlich eSigner-registrierter Zertifikate.
nach oben

Vernetztes HSM

Um noch einen Schritt weiter zu gehen, ist eine weitere Option die Verwendung von a vernetztes HSM in der Cloud, um Codesignaturzertifikate und Schlüssel zu hosten. Beispiele für solche Optionen sind Cloud-Services wie Azure, AWS und Google Cloud. In diesem Fall befindet sich das HSM in der Cloud statt in der Tasche des Entwicklers.

Dieses Verfahren bietet Sicherheitsstandards auf dem gleichen hohen Niveau wie die physischen Geräte, da die privaten Schlüssel nicht aus dem HSM exportiert werden können und der Zugang zum digitalen Signieren eine Benutzerauthentifizierung mit den oben genannten Diensten erfordert. Die digitale Signatur kann von überall angewendet werden, und mit dieser Option ist die EV-Code-Signierung verfügbar. Diese Methode ist auch leicht skalierbar, um neue Mitglieder einer Organisation aufzunehmen und/oder digitale Zertifikate im Falle verlorener Anmeldeinformationen zu ersetzen.

Andererseits kann die Implementierung dieses Verfahrens zusätzlichen Aufwand und Know-how erfordern, da es ein gewisses Maß an Vertrautheit mit der Technologie erfordert. Für weitere Details lesen Sie bitte dies Guide für die verschiedenen Möglichkeiten, wie SSL.com Cloud-HSM-Dienste unterstützt.

nach oben

eSigner: Cloud Code Signing als Service

eSigner-LogoEin moderner und sehr komfortabler Ansatz schließlich ist der Umgang mit Code Signing as a Service. SSL.coms eSignierer Der Cloud-Signierungsdienst ist ein Beispiel für diesen Ansatz zum Codesignieren.

Mit eSigner verwaltet SSL.com sowohl die Public-Key-Infrastruktur (PKI) und HSMs für Code Signing. Die nicht exportierbaren Signaturschlüssel werden in den HSMs von eSigner gespeichert, wo weder der Kunde noch SSL.com sie einsehen können. Auf diese Weise ist der Sicherheitsstandard ähnlich hoch wie bei Tokens und Cloud-HSMs, aber der Kunde muss sich nicht direkt damit befassen.

eSigner verwendet OAUTH TOTP für eine sichere Zwei-Faktor-Authentifizierung und bietet so die Möglichkeit zur Codesignatur von jedem mit dem Internet verbundenen Gerät unabhängig vom Standort. eSigner unterstützt EV-Codesignatur, sodass Entwickler damit Windows 10-Kernelmodustreiber signieren können.

eSigner macht auch Code-Signing-Zertifikate teilen zwischen Teamkollegen einfach und sicher. Durch die Verwendung des SSL.com-Dashboards ist es einfach, ein Codesignaturzertifikat zu teilen, und jedes Mitglied hat seine eigene PIN. Diese Funktion von eSigner ermöglicht es global verteilten Teams, schnell und asynchron zu arbeiten, ohne die Sicherheit des Unternehmens zu beeinträchtigen. Weitere Informationen zu dieser Option finden Sie hier How-to.

eSigner-Optionen

Die eSigner-Umgebung umfasst eine Reihe von Enterprise-Signaturoptionen, um den Anforderungen einer Vielzahl von Kunden gerecht zu werden, von einzelnen Entwicklern bis hin zu komplexen Organisationen.

  • eSigner-Express: Wie der Name schon sagt, ist diese Option nützlich, wenn eine Datei schnell und bequem aus der Ferne signiert werden muss. eSigner-Express ist eine webbasierte GUI-App und macht Code Signing extrem Einfache durch Ziehen und Ablegen von Codedateien.
  • CodeSign-Tool: CodeSignTool ist ein Kommandozeilen-Dienstprogramm für EV-Codesignatur Zertifikate, die auf verschiedenen Plattformen verwendet werden können, einschließlich Windows, macOS und Linux. Es ist besonders nützlich, um sensible Dateien zu signieren, da nur die Hashes der Dateien zum Signieren an SSL.com gesendet werden, und nicht der Code selbst. CodeSignTool ist auch ideal zum Erstellen automatisierte Prozesse wie das Signieren mehrerer Dateien in Stapeln oder Continuous Integration/Continuous Delivery (CI/CD)-Pipeline-Workflows. Weitere Details zur Verwendung von CodeSignTool finden Sie hier Guide.
  • APIs: Die Unternehmenskunden von SSL.com können auf dasselbe zugreifen Cloud-Signatur-Konsortium (CSC) und Code-Signing-APIs die eSigner Express und CodeSignTool für die Entwicklung ihrer eigenen Front-End-Code-Signing-Apps unterstützen.
nach oben

Zusammenfassung

EV-Code-Signing ist für viele Entwickler zu einer Notwendigkeit geworden. Angesichts der zunehmenden Abhängigkeit von Remote-Arbeit und asynchroner Zusammenarbeit ist ein schnelles, zuverlässiges und sicheres Tool für das Remote-Code-Signieren von EV, das auch die Teamfreigabe betont, eine wesentliche Ergänzung des Arsenals jedes Entwicklers und Software-Herausgebers. eSigner erfüllt diese Anforderungen auf bequemste, vielseitigste, skalierbarste und leistungsstärkste Weise und erfüllt gleichzeitig die höchsten Sicherheitsstandards der Branche.

nach oben

Wie kann ich eSigner ausprobieren?

eSigner steht derzeit allen SSL.com EV Code Signing- und Document Signing-Kunden als Abonnementdienst mit Servicestufen zur Unterstützung von Organisationen und Unternehmen jeder Größe zur Verfügung. Bitte überprüfen Sie die Hauptseite von eSigner für Preisdetails. Weitere Informationen zur eSigner-Cloud-Codesignierung finden Sie in diesen SSL.com-Anleitungen und -Anleitungen oder verwenden Sie das Informationsformular unten, um das Vertriebsteam von SSL.com zu kontaktieren.

eSigner Code Signing Guides und How-Tos

eSigner-Informationsanforderungsformular

Giannis Naziridis

Alle Beiträge

Ähnliche Blog-Beiträge

Alle Blogeinträge anzeigen
Facebook Linkedin Twitter Youtube Github

Was ist SSL /TLS?

anschauen

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil