El contenido digital se distribuye constantemente en línea. Todos los días, descargamos scripts, aplicaciones y archivos ejecutables para una variedad de actividades comerciales y personales. Tanto los usuarios finales como los desarrolladores necesitan una forma segura de saber que el software que se distribuye es confiable y seguro contra la manipulación.
Aquí es donde firma de código La mayoría de las plataformas informáticas, como Windows, tienen reglas estrictas sobre qué contenido puede distribuirse a través de sus canales o ejecutarse en sus sistemas. Existe una variedad de soluciones para los desarrolladores de software con el fin de cumplir con estas reglas y asegurarse de que el código que envían al mundo no se vea comprometido.
Además, el entorno del espacio de trabajo moderno integra trabajo remoto, cooperación asincrónica y una creciente necesidad de opciones para compartir equipos distribuidos. Una de las soluciones más sólidas y convenientes para la firma de códigos y documentos que incorpora estas tendencias modernas es SSL.com firmante electrónico servicio de firma en la nube.
Conceptos básicos de firma de código
Firma de código es el procedimiento de aplicar una firma digital a un software como una aplicación o un controlador. Esta firma tiene un doble propósito, asegurar tanto la autenticidad y integridad del código:
- Proporciona una prueba criptográfica de la identidad del desarrollador (autenticidad).
- Garantiza que el contenido del software no haya sido manipulado desde el momento en que se creó hasta el momento en que se utiliza (integridad).
La validez del certificado y la identidad del firmante se confirma mediante la firma digital de una autoridad de certificación (CA) de confianza pública, como SSL.com, lo que una cadena de confianza al certificado raíz de la CA en el almacén de confianza de la plataforma. Con esta cadena de confianza establecida, los sistemas operativos y los usuarios finales pueden estar seguros de que usted es un desarrollador confiable y de que instalar su software en su sistema es seguro.
No utilizar un certificado de firma de código genera mensajes de advertencia y errores cuando un usuario intenta instalar su software, como "Windows no puede verificar el editor de este software de controlador". Nadie quiere ser el receptor de tal situación, especialmente un desarrollador. De hecho, el cumplimiento de varios estándares de plataforma requiere la firma de código; por ejemplo, no puede publicar controladores en modo kernel de Windows sin un Certificado de firma de código EV.
Protección contra la manipulación
Las firmas digitales protegen la integridad de un mensaje (en este caso, un fragmento de código) mediante funciones hash criptográficas. Estos son algoritmos matemáticos que asignan datos a una matriz de bits de tamaño preestablecido, llamada valor hash or resumen del mensaje. Las funciones de hash criptográficas son funciones unidireccionales, e incluso un pequeño cambio en el mensaje original da como resultado cambios significativos en el valor de hash. Entonces, cuando un usuario recibe el mensaje con su valor hash incluido en la firma digital, su sistema operativo aplicará la misma función hash al mensaje recibido y comparará los dos resúmenes. Si son idénticos, pueden estar seguros de que el mensaje recibido no se diferencia del original. De lo contrario, el sistema les advertirá que el archivo está dañado de alguna manera.
Opciones para la firma de código
Hay una serie de opciones técnicas para la firma de código, cada una con sus pros y sus contras en términos del nivel de seguridad ofrecido, precio, aplicabilidad y facilidad de uso. A continuación, veremos estas opciones y lo que ofrecen.
Certificados OV / IV instalados localmente
La primera y más simple opción es tener una organización instalada localmente validada (OV) o validada individualmente (IV) certificado de firma de código y clave privada en su máquina. Estos tipos de certificados son distribuidos por SSL.com en el formato de archivo PKCS # 12 / PFX y pueden instalarse en la tienda de certificados de su computadora o en algunos servicios en la nube como Azure Key Vault. Para obtener más información sobre cómo solicitar certificados de firma de código OV / IV de SSL.com, lea este tutorial.
La ventaja de este tipo de firma de código es una implementación relativamente fácil y también la más barata de las opciones disponibles. Sin embargo, no confiere el nivel de seguridad de un token USB, HSM o servicio de firma en la nube (ver más abajo), y este tipo de instalación no es aceptable para la firma de código de Validación Extendida (EV). Esta última información es particularmente importante ya que algunas aplicaciones (en particular firma de controladores de Windows 10) requieren un certificado EV.
Tokens USB
Una opción de firma de código más segura es utilizar un módulo de seguridad de hardware (HSM) con un formulario físico. El HSM más común utilizado para la firma de código es un token USB, como elFichas USB de clave de seguridad validadas por FIPS 140-2 SSL.com utiliza para distribuir certificados de firma de código EV. Este token es responsable de almacenar los certificados y claves de un usuario y también es seguro contra la manipulación y el compromiso de claves, gracias a su arquitectura de hardware y su paquete. El token USB se usa como una clave que debe insertarse físicamente en una computadora para firmar digitalmente una pieza de software. Además, el token requiere un PIN para acceder para mayor seguridad.
Este método es actualmente el más común para los certificados de código EV, ya que proporciona alta seguridad y los usuarios pueden implementarlo fácilmente. Estos pequeños tokens de hardware también son fáciles de transportar y se pueden firmar desde cualquier lugar.
Sin embargo, este método tiene sus defectos. En primer lugar, puede resultar bastante caro para una organización comprar y reemplazar estos tokens. Especialmente en el entorno de trabajo remoto de hoy, distribuir y cuidar los tokens de hardware puede ser un gran desafío logístico para un departamento de TI, lo que cuesta tanto recursos financieros como humanos. Además, estos tokens se pueden robar o perder, creando brechas de seguridad con un riesgo potencialmente alto de compromiso, junto con el alto costo de reemplazo. Finalmente, son inconvenientes en comparación con las opciones basadas en la nube para compartir entre desarrolladores.
HSM en red
Yendo un paso más allá, otra opción es usar un HSM en red en la nube para alojar certificados y claves de firma de código. Ejemplos de tales opciones son servicios en la nube como Azure, AWS y Google Cloud. En este caso, el HSM está en la nube en lugar del bolsillo del desarrollador.
Este método ofrece estándares de seguridad del mismo alto nivel que los dispositivos físicos, ya que las claves privadas no son exportables desde el HSM y el acceso a la firma digital requiere la autenticación del usuario con los servicios antes mencionados. La firma digital se puede aplicar desde cualquier lugar y la firma de código EV está disponible con esta opción. Este método también es fácilmente escalable para incorporar nuevos miembros de una organización y / o reemplazar certificados digitales en caso de pérdida de credenciales.
Por otro lado, la implementación de este método puede requerir gastos y experiencia adicionales, ya que requiere un cierto nivel de familiaridad con la tecnología. Para más detalles, lea esto guía por las diversas formas en que SSL.com admite los servicios HSM en la nube.
eSigner: firma de código en la nube como servicio
Finalmente, un enfoque moderno y muy conveniente es tratar la firma de código como un servicio. SSL.com's firmante electrónico El servicio de firma en la nube es un ejemplo de este enfoque para la firma de código.
Con eSigner, SSL.com maneja tanto la infraestructura de clave pública (PKI) y HSM para firma de código. Las claves de firma no exportables se almacenan en los HSM de eSigner, donde ni el cliente ni SSL.com pueden verlas. De esta manera, el estándar de seguridad es tan alto como con los tokens y los HSM en la nube, pero no es necesario que el cliente los trate directamente.
eSigner utiliza OAUTH TOTP para la autenticación segura de dos factores, lo que brinda la posibilidad de firmar código desde cualquier dispositivo conectado a Internet, independientemente de la ubicación. eSigner admite la firma de código EV, por lo que los desarrolladores pueden usarlo para firmar controladores en modo kernel de Windows 10.
eSigner también hace compartir certificados de firma de código entre compañeros de equipo fácil y seguro. Al usar el panel de SSL.com, es fácil compartir un certificado de firma de código y cada miembro tiene su propio PIN. Esta característica de eSigner permite que los equipos dispersos por todo el mundo trabajen de forma rápida y asincrónica, sin comprometer la seguridad de la organización. Para obtener más detalles sobre esta opción, consulte este How-To.
Opciones de eSigner
El entorno eSigner incluye una serie de opciones de firma empresarial para satisfacer las necesidades de una variedad de clientes, desde desarrolladores individuales hasta organizaciones complejas.
- Firma electrónica Express: Como su nombre lo indica, esta opción es útil para aquellos momentos en los que un archivo necesita ser firmado de forma remota de forma rápida y cómoda. firma electrónica exprés es una aplicación GUI basada en web y hace que la firma de código sea extremadamente de forma sencilla arrastrando y soltando archivos de código.
- Herramienta de firma de código: Herramienta CodeSign es una utilidad de línea de comandos para Firma de código EV certificados que se pueden usar en varias plataformas, incluidas Windows, macOS y Linux. Es especialmente útil para firmar archivos confidenciales, ya que solo los hash de los archivos se envían a SSL.com para su firma, en lugar del código en sí. CodeSignTool también es ideal para crear soluciones procesos, como la firma de varios archivos en lotes o flujos de trabajo de canalización de integración continua / entrega continua (CI / CD). Para obtener más detalles sobre el uso de CodeSignTool, consulte este guía.
- APIs: Los clientes empresariales de SSL.com pueden acceder al mismo Consorcio de firma en la nube (CSC) y API de firma de código que potencian a eSigner Express y CodeSignTool para el desarrollo de sus propias aplicaciones de firma de código front-end.
Conclusión
La firma de código EV se ha convertido en una necesidad para muchos desarrolladores. Con la creciente dependencia actual del trabajo remoto y la cooperación asincrónica, una herramienta rápida, confiable y segura para la firma remota de códigos EV que también enfatiza el intercambio de equipos es una adición esencial al arsenal de cualquier desarrollador y editor de software. eSigner satisface esas necesidades de la manera más conveniente, versátil, escalable y poderosa mientras cumple con los más altos estándares de seguridad de la industria.
¿Cómo puedo probar eSigner?
eSigner está disponible actualmente para todos los clientes de firma de código y firma de documentos de SSL.com EV como un servicio de suscripción con niveles de servicio para ayudar a organizaciones y empresas de todos los tamaños. Por favor, checa el página principal de eSigner para obtener detalles sobre los precios. Para obtener mucha más información sobre la firma de código en la nube eSigner, consulte estas guías y procedimientos de SSL.com, o utilice el formulario de información a continuación para ponerse en contacto con el equipo de ventas para empresas de SSL.com.
Guías y procedimientos de firma de código de eSigner
- Firma remota de código EV con eSigner
- Guía de comandos de eSigner CodeSignTool
- Uso compartido en equipo para certificados de firma de código EV y documento eSigner
Formulario de solicitud de información de firma electrónica
