Implementación de la firma de código con Google Cloud HSM

Las autoridades de certificación como SSL.com han aumentado recientemente los estándares de almacenamiento de claves para los certificados de firma de código, y ahora exigen el almacenamiento de la clave privada del certificado en un token USB físico o en un módulo de seguridad de hardware (HSM) compatible.  A partir del 1 de junio de 2023, todos los certificados de firma de código de SSL.com dejaron de emitirse como archivos pfx descargables. Este cambio cumple con el foro de autoridad certificadora/navegador (CA/B). nuevos requisitos de almacenamiento de claves para aumentar la seguridad de las claves de firma de código. La regla anterior permitía que los certificados de firma de código de Validación de Organización (OV) y Validación Individual (IV) se emitieran como archivos descargables. Dado que los nuevos requisitos solo permiten el uso de tokens USB cifrados o dispositivos de hardware compatibles con FIPS basados ​​en la nube para almacenar el certificado y la clave privada, se espera que se reduzcan considerablemente los casos de robo y uso indebido de claves de firma de código por parte de actores maliciosos. Si bien el uso de tokens USB presenta desafíos en la integración con canales de CI/CD modernos y la administración de un HSM físico en la oficina puede ser engorrosa, existe una alternativa eficiente. Google Cloud ofrece una solución práctica: alquilar una única ranura para clave en su servicio HSM. Este enfoque no solo es rentable, sino que también se alinea con los últimos estándares de cumplimiento FIPS 140-2 Nivel 2, al tiempo que elimina la necesidad de administración de dispositivos físicos. Este artículo lo guiará a través del proceso de configuración de esta solución intermedia.

Certificados de firma de código EV de SSL.com son de confianza en todo el mundo para firmar digitalmente el código de software con firmas digitales seguras. 

COMPRA TU CERTIFICADO DE FIRMA DE CÓDIGO SSL.COM EV

 

Comprender el proceso de firma de código con un HSM basado en la nube

Para comprender la esencia del procedimiento de firma de código utilizando un módulo de seguridad de hardware (HSM) basado en la nube, es útil examinar los componentes:
  • Certificado de firma de código: un certificado digital emitido por una autoridad certificadora (CA) confiable que los desarrolladores de software utilizan para firmar digitalmente su software, scripts y ejecutables. Este certificado sirve como firma digital que verifica la identidad del desarrollador o editor y garantiza que el código no haya sido alterado ni comprometido desde que se firmó originalmente. 
  • Google Cloud: ofrece servicios que respaldan el desarrollo y la implementación de software seguro, incluida la infraestructura para generar y administrar de forma segura las claves criptográficas utilizadas en el proceso de firma de código.
  • Google Cloud HSM para protección de claves: un robusto módulo de seguridad de hardware alojado dentro de la infraestructura de Google Cloud, dedicado a proteger su clave privada contra el acceso no autorizado.
  • Herramienta de firma: una aplicación o utilidad de software diseñada para firmar digitalmente programas y aplicaciones de software. Esta firma digital garantiza al usuario final que el software no ha sido alterado ni comprometido desde que fue firmado por el desarrollador o editor.
  • Autoridad de sellado de tiempo (TSA): un servicio de terceros confiable, generalmente administrado por su Autoridad de certificación (CA), que tiene la tarea de demostrar que el código se firmó durante el período de validez del certificado digital utilizado para la firma, incluso si el certificado luego caduca o es revocada.

Registrar una cuenta de Google Cloud

El primer paso para configurar su instalación implica establecer una cuenta con Google Cloud Platform. Una vez que su cuenta esté activa, es necesario crear un nuevo proyecto y habilitar facturación. Es necesario proporcionar su información de pago para poder continuar con la configuración.

Genera tu par de claves, CSRy declaración de certificación

Antes de emitir certificados de firma de código o de firma de documentos confiables de Adobe, SSL.com requiere confirmación de que la clave de firma privada del cliente se generó y está contenida de forma segura en un dispositivo certificado por FIPS 140-2 Nivel 2 (o superior). Este dispositivo garantiza que la clave no se pueda extraer y la verificación de esta protección se denomina atestación. Cloud HSM de Google, que utiliza dispositivos fabricados por Marvell (anteriormente Cavium), es capaz de generar declaraciones de certificación firmadas para claves criptográficas. SSL.com puede validar estas declaraciones antes de emitir certificados de firma de documentos o de firma de código. Para obtener orientación sobre cómo generar su par de claves y declaración de certificación, consulte la documentación de Administración de claves en la nube de Google: Una vez que tenga su par de claves, CSRy la declaración de certificación lista, envíelos a SSL.com para su verificación y emisión del certificado. El herramienta de código abierto por usuario de GitHub mate por crear un CSR y firmarlo con una clave privada de Google Cloud HSM puede resultar especialmente útil. SSL.com cobra una tarifa de $500.00 USD por la certificación de Google Cloud HSM. Además, ofrecemos varios niveles de precios para los certificados utilizados en plataformas HSM en la nube, según las operaciones de firma máximas anuales. Para obtener información detallada sobre precios, consulte nuestra Niveles de precios de Cloud HSM guía. Las certificaciones se pueden realizar utilizando el BYOA (Traiga su propio auditor) cuando el propietario de un HSM opta por la certificación de generación de claves sin los servicios de SSL.com. Este método es aplicable para cualquier Ceremonia de Generación de Claves (KGC) de un HSM compatible, incluso aquellos que no están cubiertos por la certificación de SSL.com. BYOA exige una preparación meticulosa para evitar el riesgo de rechazo de claves. Estas cuestiones exigen repetir la ceremonia, lo que incurre en costos y retrasos adicionales. Para evitar estos problemas, los especialistas en validación y atención al cliente de SSL.com guían proactivamente a los clientes ante el KGC.

Solicite su certificado de firma de código

Todos los certificados de firma de código de SSL.com se pueden comprar con una duración de 1 a 3 años con descuentos para duraciones más largas, así como la conveniencia de tener que someterse a un proceso de validación solo una vez para los certificados de mayor duración.     El siguiente artículo vinculado detalla cómo solicitar un certificado de firma de código y navegar por estas opciones: Proceso de pedido de certificados de firma de códigos y documentos Para soluciones personalizadas, descuentos por gran volumen, opciones de HSM externo, cotizaciones oficiales o cualquier otra orientación, comuníquese con sales@ssl.com.

Realice el Proceso de Vetting para obtener su Certificado

Además de generar su par de claves, CSRy declaración de certificación, SSL.com requiere documentos específicos e información de registro antes de poder obtener un certificado de firma de código. El siguiente artículo vinculado detalla el proceso de investigación:  Proceso de validación de certificados de firma de documentos, firma de códigos y firma de códigos EV.

Certificados de firma de código EV de SSL.com son de confianza en todo el mundo para firmar digitalmente el código de software con firmas digitales seguras. 

COMPRA TU CERTIFICADO DE FIRMA DE CÓDIGO SSL.COM EV

 

Artículos Relacionados

Twitter
Facebook
Etiqueta LinkedIn
Reddit
Correo electrónico

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.