Le contenu numérique est constamment diffusé en ligne. Chaque jour, nous téléchargeons des scripts exécutables, des applications et des fichiers pour diverses activités professionnelles et personnelles. Les utilisateurs finaux et les développeurs ont besoin d'un moyen sûr de savoir que le logiciel distribué est fiable et protégé contre la falsification.
C'est ici que signature de code La plupart des plates-formes informatiques, comme Windows, ont des règles strictes sur le contenu pouvant être distribué via leurs canaux ou exécuté sur leurs systèmes. Il existe une variété de solutions pour les développeurs de logiciels afin de se conformer à ces règles et de s'assurer que le code qu'ils envoient dans le monde n'est pas compromis.
En outre, l'environnement d'espace de travail moderne intègre le travail à distance, la coopération asynchrone et un besoin croissant d'options de partage d'équipe distribuées. L'une des solutions les plus robustes et pratiques pour la signature de code et de documents qui intègre ces tendances modernes est SSL.com e-signataire service de signature dans le cloud.
Les essentiels de la signature de code
Signature de code est la procédure d'application d'une signature numérique à un logiciel comme une application ou un pilote. Cette signature a un double objectif, assurer à la fois la authenticité et intégrité du code :
- Il fournit une preuve cryptographique de l'identité du développeur (authenticité).
- Il garantit que le contenu du logiciel n'a pas été altéré depuis sa création jusqu'à son utilisation (intégrité).
La validité du certificat et de l'identité du signataire est elle-même confirmée par la signature numérique d'une autorité de certification (AC) réputée et de confiance publique, comme SSL.com, créant ainsi une chaîne de confiance au certificat racine de l'autorité de certification dans le magasin de confiance de la plate-forme. Une fois cette chaîne de confiance établie, les systèmes d'exploitation et les utilisateurs finaux peuvent être certains que vous êtes un développeur de confiance et que l'installation de votre logiciel sur leur système est sûre.
Ne pas utiliser de certificat de signature de code entraîne des messages d'avertissement et des erreurs lorsqu'un utilisateur essaie d'installer votre logiciel, comme « Windows ne peut pas vérifier l'éditeur de ce pilote logiciel ». Personne ne veut être la cible d'une telle situation, en particulier un développeur. En fait, la conformité à un certain nombre de normes de plate-forme nécessite la signature de code ; par exemple, vous ne pouvez pas du tout publier de pilotes en mode noyau Windows sans un Certificat de signature de code EV.
Protection contre la falsification
Les signatures numériques protègent l'intégrité d'un message (dans ce cas un morceau de code) via fonctions de hachage cryptographiques. Il s'agit d'algorithmes mathématiques qui mappent des données à un tableau de bits de taille prédéfinie, appelé un valeur de hachage or résumé de message. Les fonctions de hachage cryptographiques sont des fonctions à sens unique, et même une petite modification du message d'origine entraîne des modifications significatives de la valeur de hachage. Ainsi, lorsqu'un utilisateur reçoit le message avec sa valeur de hachage incluse dans la signature numérique, son système d'exploitation applique la même fonction de hachage au message reçu et compare les deux résumés. S'ils sont identiques, ils peuvent être sûrs que le message reçu est indifférencié de l'original. Sinon, le système les avertira que le fichier est corrompu d'une manière ou d'une autre.
Options de signature de code
Il existe un certain nombre d'options techniques pour la signature de code, chacune avec ses propres avantages et inconvénients en termes de niveau de sécurité offert, de prix, d'applicabilité et de facilité d'utilisation. Ci-dessous, nous allons examiner ces options et ce qu'elles offrent.
Certificats OV/IV installés localement
La première option et la plus simple est de faire valider une organisation installée localement (OV) ou une personne validée (IV) certificat de signature de code et la clé privée sur votre machine. Ces types de certificats sont distribués par SSL.com au format de fichier PKCS#12/PFX et peuvent être installés dans le magasin de certificats de votre ordinateur ou sur certains services cloud comme Azure Key Vault. Pour plus d'informations sur la commande de certificats de signature de code OV/IV sur SSL.com, veuillez lire ce mode d'emploi.
L'avantage de ce type de signature de code est une mise en œuvre relativement facile, et c'est aussi la moins chère des options disponibles. Cependant, il ne confère pas le niveau de sécurité d'un jeton USB, d'un HSM ou d'un service de signature cloud (voir ci-dessous), et ce type d'installation n'est pas acceptable pour la signature de code Extended Validation (EV). Cette dernière information est d'autant plus importante que certaines applications (notamment signature des pilotes Windows 10) nécessitent un certificat EV.
jetons USB
Une option de signature de code plus sécurisée consiste à utiliser un module de sécurité matériel (HSM) avec une forme physique. Le HSM le plus couramment utilisé pour la signature de code est un jeton USB, comme leJetons USB à clé de sécurité validés FIPS 140-2 SSL.com utilise pour distribuer des certificats de signature de code EV. Ce jeton est responsable du stockage des certificats et des clés d'un utilisateur et est également protégé contre la falsification et la compromission des clés, grâce à son architecture matérielle et à son emballage. Le jeton USB est utilisé comme une clé qui doit être insérée physiquement dans un ordinateur afin de signer numériquement un logiciel. Le jeton nécessite en outre un code PIN pour être accessible pour plus de sécurité.
Cette méthode est actuellement la plus courante pour les certificats de code EV, car elle offre une sécurité élevée et est facilement implémentée par les utilisateurs. Ces petits jetons matériels sont également facilement portables et on peut signer de n'importe où.
Cependant, cette méthode a ses défauts. Tout d'abord, il peut être assez coûteux pour une organisation d'acheter et de remplacer ces jetons. Surtout dans l'environnement de travail à distance d'aujourd'hui, la distribution et la gestion des jetons matériels peuvent être un défi logistique pour un service informatique, coûtant à la fois des ressources financières et humaines. De plus, ces jetons peuvent être volés ou perdus, créant des failles de sécurité avec un risque potentiellement élevé de compromission, ainsi que le coût élevé de remplacement. Enfin, elles sont peu pratiques par rapport aux options basées sur le cloud pour le partage entre développeurs.
HSM en réseau
Pour aller plus loin, une autre option consiste à utiliser un HSM en réseau dans le cloud pour héberger des certificats et des clés de signature de code. Des exemples de telles options sont services de cloud computing comme Azure, AWS et Google Cloud. Dans ce cas, le HSM est dans le cloud au lieu de la poche du développeur.
Cette méthode offre des standards de sécurité du même niveau que les dispositifs physiques puisque les clés privées ne sont pas exportables depuis le HSM, et l'accès à la signature numérique nécessite une authentification de l'utilisateur auprès des services précités. La signature numérique peut être appliquée de n'importe où, et la signature de code EV est disponible avec cette option. Cette méthode est également facilement évolutive pour intégrer de nouveaux membres d'une organisation et/ou remplacer les certificats numériques en cas de perte d'informations d'identification.
D'autre part, la mise en œuvre de cette méthode peut nécessiter des dépenses et une expertise supplémentaires, car elle nécessite un certain niveau de familiarité avec la technologie. Pour plus de détails, veuillez lire ceci guide pour les différentes manières dont SSL.com prend en charge les services cloud HSM.
eSigner : signature de code cloud en tant que service
Enfin, une approche moderne et très pratique consiste à traiter la signature de code en tant que service. SSL.com e-signataire Le service de signature en nuage est un exemple de cette approche de la signature de code.
Avec eSigner, SSL.com gère à la fois l'infrastructure à clé publique (PKI) et les HSM pour la signature de code. Les clés de signature non exportables sont stockées dans les HSM d'eSigner, où ni le client ni SSL.com ne peuvent les voir. De cette façon, la norme de sécurité est aussi élevée qu'avec les tokens et les HSM cloud, mais le client n'a pas besoin de traiter directement avec eux.
eSigner utilise OAUTH TOTP pour une authentification sécurisée à deux facteurs, offrant ainsi la possibilité de signer du code à partir de n'importe quel appareil connecté à Internet, quel que soit son emplacement. eSigner prend en charge la signature de code EV, de sorte que les développeurs peuvent l'utiliser pour signer les pilotes en mode noyau de Windows 10.
eSigner fait également partage de certificats de signature de code entre coéquipiers facile et sécurisé. En utilisant le tableau de bord SSL.com, il est facile de partager un certificat de signature de code, et chaque membre a son propre code PIN. Cette fonctionnalité d'eSigner permet à des équipes dispersées dans le monde de travailler rapidement et de manière asynchrone, sans compromettre la sécurité de l'organisation. Pour plus de détails sur cette option, veuillez consulter ce comment faire.
Options de signature électronique
L'environnement eSigner comprend un certain nombre d'options de signature d'entreprise pour répondre aux besoins d'une variété de clients, des développeurs individuels aux organisations complexes.
- eSigner Express : Comme son nom l'indique, cette option est utile lorsqu'un fichier doit être signé à distance rapidement et facilement. eSigner Express est une application GUI basée sur le Web et rend la signature de code extrêmement Easy par glisser-déposer de fichiers de code.
- CodeSignTool : CodeSignTool est un utilitaire de ligne de commande pour Signature de code EV des certificats pouvant être utilisés sur diverses plates-formes, notamment Windows, macOS et Linux. Il est particulièrement utile pour signer des fichiers sensibles car seuls les hachages des fichiers sont envoyés à SSL.com pour signature, au lieu du code lui-même. CodeSignTool est également idéal pour créer automatisé processus, tels que la signature de plusieurs fichiers par lots ou les workflows de pipeline d'intégration continue/livraison continue (CI/CD). Pour plus de détails concernant l'utilisation de CodeSignTool, veuillez vous référer à ce guide.
- Apis: Les entreprises clientes de SSL.com peuvent accéder au même Consortium de signature en nuage (CSC) et API de signature de code qui alimentent eSigner Express et CodeSignTool pour le développement de leurs propres applications de signature de code frontal.
Conclusion
La signature de code EV est devenue une nécessité pour de nombreux développeurs. Avec le recours accru au travail à distance et à la coopération asynchrone d'aujourd'hui, un outil rapide, fiable et sécurisé pour la signature de code EV à distance qui met également l'accent sur le partage d'équipe est un ajout essentiel à l'arsenal de tout développeur et éditeur de logiciels. eSigner répond à ces besoins de la manière la plus pratique, polyvalente, évolutive et puissante, tout en respectant les normes de sécurité les plus élevées de l'industrie.
Comment puis-je essayer eSigner ?
eSigner est actuellement disponible pour tous les clients SSL.com EV de signature de code et de signature de documents en tant que service d'abonnement avec des niveaux de service pour prendre en charge les organisations et les entreprises de toutes tailles. S'il vous plaît, vérifiez le page principale de l'eSigner pour les détails des prix. Pour plus d'informations sur la signature de code cloud eSigner, consultez ces guides et procédures SSL.com, ou utilisez le formulaire d'information ci-dessous pour contacter l'équipe de vente d'entreprise de SSL.com.
Guides et procédures de signature de code eSigner
- Signature de code EV à distance avec eSigner
- Guide des commandes eSigner CodeSignTool
- Partage d'équipe pour les certificats de signature de documents eSigner et de code EV
Formulaire de demande d'informations eSigner
