I contenuti digitali vengono costantemente distribuiti online. Ogni giorno scarichiamo script eseguibili, applicazioni e file per una varietà di attività personali e aziendali. Sia gli utenti finali che gli sviluppatori hanno bisogno di un modo sicuro per sapere che il software distribuito è affidabile e protetto da manomissioni.
Qui è dove firma del codice entra in gioco. La maggior parte delle piattaforme di elaborazione, come Windows, ha regole rigide su quali contenuti possono essere distribuiti attraverso i loro canali o eseguiti sui loro sistemi. Esiste una varietà di soluzioni per gli sviluppatori di software per rispettare queste regole e assicurarsi che il codice che inviano al mondo non sia compromesso.
Inoltre, il moderno ambiente di lavoro integra il lavoro remoto, la cooperazione asincrona e la crescente necessità di opzioni di condivisione del team distribuite. Una delle soluzioni più robuste e convenienti per la firma di codici e documenti che incorpora queste tendenze moderne è SSL.com's firmatario elettronico servizio di firma cloud.
Elementi essenziali per la firma del codice
Firma del codice è la procedura per applicare una firma digitale a un software come un'applicazione o un driver. Questa firma ha un duplice scopo, garantire sia la autenticità ed interezza del codice:
- Fornisce una prova crittografica dell'identità dello sviluppatore (autenticità).
- Assicura che il contenuto del software non sia stato manomesso dal momento in cui è stato creato fino al momento in cui viene utilizzato (integrità).
La validità del certificato e dell'identità del firmatario è a sua volta confermata dalla firma digitale di un'autorità di certificazione (CA) affidabile e pubblicamente attendibile, come SSL.com, creando così una catena di fiducia al certificato radice della CA nel truststore della piattaforma. Con questa catena di fiducia stabilita, i sistemi operativi e gli utenti finali possono essere certi che sei uno sviluppatore affidabile e che l'installazione del tuo software nel loro sistema è sicura.
Il mancato utilizzo di un certificato di firma del codice porta a messaggi di avviso ed errori quando un utente tenta di installare il software, come "Windows non può verificare l'editore di questo software driver". Nessuno vuole essere vittima di una situazione del genere, specialmente uno sviluppatore. In effetti, la conformità a una serie di standard della piattaforma richiede la firma del codice; ad esempio, non puoi pubblicare driver in modalità kernel di Windows senza un Certificato di firma codice EV.
Protezione contro la manomissione
Le firme digitali proteggono l'integrità di un messaggio (in questo caso un pezzo di codice) attraverso funzioni hash crittografiche. Questi sono algoritmi matematici che mappano i dati su un array di bit di dimensioni prestabilite, chiamato a valore hash or messaggio digest. Le funzioni hash crittografiche sono funzioni unidirezionali e anche una piccola modifica nel messaggio originale comporta modifiche significative nel valore hash. Quindi, quando un utente riceve il messaggio con il suo valore hash incluso nella firma digitale, il suo sistema operativo applicherà la stessa funzione hash al messaggio ricevuto e confronterà i due digest. Se sono identici, possono essere certi che il messaggio ricevuto è indifferenziato dall'originale. In caso contrario, il sistema li avviserà che il file è corrotto in qualche modo.
Opzioni per la firma del codice
Esistono numerose opzioni tecniche per la firma del codice, ognuna con i propri pro e contro in termini di livello di sicurezza offerto, prezzo, applicabilità e facilità d'uso. Di seguito daremo un'occhiata a queste opzioni e a cosa offrono.
Certificati OV/IV installati localmente
La prima e più semplice opzione è avere un'organizzazione installata localmente convalidata (OV) o convalidata individualmente (IV) certificato di firma del codice e chiave privata sulla tua macchina. Questi tipi di certificati sono distribuiti da SSL.com nel formato file PKCS#12/PFX e possono essere installati nell'archivio certificati del tuo computer o su alcuni servizi cloud come Key Vault di Azure. Per ulteriori informazioni sull'ordinazione di certificati di firma del codice OV/IV da SSL.com, leggere questo come fare.
Il vantaggio di questo tipo di firma del codice è l'implementazione relativamente semplice ed è anche la più economica delle opzioni disponibili. Tuttavia, non conferisce il livello di sicurezza di un token USB, HSM o servizio di firma cloud (vedi sotto) e questo tipo di installazione non è accettabile per la firma del codice Extended Validation (EV). Quest'ultima informazione è particolarmente importante poiché alcune applicazioni (in particolarenot firmare i driver di Windows 10) richiedono un certificato EV.
Token USB
Un'opzione di firma del codice più sicura consiste nell'usare un modulo di sicurezza hardware (HSM) con un modulo fisico. L'HSM più comune utilizzato per la firma del codice è un token USB, come ilToken USB della chiave di sicurezza convalidati FIPS 140-2 SSL.com utilizza per distribuire i certificati di firma del codice EV. Questo token è responsabile della memorizzazione dei certificati e delle chiavi di un utente ed è anche sicuro contro la manomissione e la compromissione delle chiavi, grazie alla sua architettura hardware e alla sua confezione. Il token USB viene utilizzato come una chiave che deve essere inserita fisicamente in un computer per firmare digitalmente un software. Il token richiede inoltre l'accesso a un PIN per una maggiore sicurezza.
Questo metodo è attualmente il più comune per i certificati di codice EV, in quanto fornisce un'elevata sicurezza ed è facilmente implementabile dagli utenti. Questi piccoli token hardware sono anche facilmente trasportabili e si possono firmare da qualsiasi luogo.
Tuttavia, questo metodo ha i suoi difetti. Prima di tutto, può essere piuttosto costoso per un'organizzazione acquistare e sostituire questi token. Soprattutto nell'ambiente di lavoro remoto odierno, la distribuzione e la cura dei token hardware può essere una vera sfida logistica per un reparto IT, che costa sia risorse finanziarie che umane. Inoltre, questi token possono essere rubati o persi, creando falle di sicurezza con un rischio potenzialmente elevato di compromissione, insieme all'alto costo di sostituzione. Infine, sono scomodi rispetto alle opzioni basate su cloud per la condivisione tra sviluppatori.
HSM in rete
Facendo un ulteriore passo avanti, un'altra opzione è usare a HSM in rete nel cloud per ospitare chiavi e certificati di firma del codice. Esempi di tali opzioni sono servizi cloud come Azure, AWS e Google Cloud. In questo caso, l'HSM è nel cloud invece che nella tasca dello sviluppatore.
Questo metodo offre standard di sicurezza dello stesso alto livello dei dispositivi fisici poiché le chiavi private non sono esportabili dall'HSM e l'accesso alla firma digitale richiede l'autenticazione dell'utente con i suddetti servizi. La firma digitale può essere applicata da qualsiasi luogo e la firma del codice EV è disponibile con questa opzione. Questo metodo è anche facilmente scalabile per incorporare nuovi membri di un'organizzazione e/o sostituire i certificati digitali in caso di smarrimento delle credenziali.
D'altra parte, l'implementazione di questo metodo può richiedere spese e competenze aggiuntive, poiché richiede un certo livello di familiarità con la tecnologia. Per maggiori dettagli, leggi questo guida per i vari modi in cui SSL.com supporta i servizi cloud HSM.
eSigner: firma del codice cloud come servizio
Infine, un approccio moderno e molto conveniente riguarda la firma del codice come servizio. SSL.com firmatario elettronico il servizio di firma cloud è un esempio di questo approccio alla firma del codice.
Con eSigner, SSL.com gestisce sia l'infrastruttura a chiave pubblica (PKI) e HSM per la firma del codice. Le chiavi di firma non esportabili sono archiviate negli HSM di eSigner, dove né il cliente né SSL.com possono visualizzarle. In questo modo, lo standard di sicurezza è elevato come con i token e gli HSM cloud, ma non è necessario che il cliente se ne occupi direttamente.
eSigner utilizza OAUTH TOTP per l'autenticazione a due fattori sicura, offrendo così la possibilità di firmare il codice da qualsiasi dispositivo connesso a Internet indipendentemente dalla posizione. eSigner supporta la firma del codice EV, quindi gli sviluppatori possono utilizzarlo per firmare i driver in modalità kernel di Windows 10.
eSigner fa anche condivisione di certificati di firma del codice tra compagni di squadra facile e sicuro. Utilizzando la dashboard di SSL.com, è facile condividere un certificato di firma del codice e ogni membro ha il proprio PIN. Questa funzionalità di eSigner consente ai team dislocati a livello globale di lavorare in modo rapido e asincrono, senza compromettere la sicurezza dell'organizzazione. Per maggiori dettagli su questa opzione, si prega di consultare questo how-to.
Opzioni eSigner
L'ambiente eSigner include una serie di opzioni di firma aziendale per soddisfare le esigenze di una varietà di clienti, dai singoli sviluppatori alle organizzazioni complesse.
- eSigner espresso: Come indica il nome, questa opzione è utile per quelle volte in cui un file deve essere firmato in remoto in modo rapido e conveniente. eSigner Express è un'app GUI basata sul Web e rende estremamente la firma del codice facile trascinando e rilasciando i file di codice.
- CodeSignStrumento: CodeSignTool è un'utilità della riga di comando per Firma del codice EV certificati che possono essere utilizzati su varie piattaforme, inclusi Windows, macOS e Linux. È particolarmente utile per firmare file sensibili poiché solo gli hash dei file vengono inviati a SSL.com per la firma, invece del codice stesso. CodeSignTool è ideale anche per creare automatizzato processi, come la firma di più file in batch o flussi di lavoro pipeline di integrazione continua/consegna continua (CI/CD). Per maggiori dettagli sull'utilizzo di CodeSignTool, fare riferimento a questo guida.
- API: I clienti aziendali di SSL.com possono accedere allo stesso Consorzio per la firma del cloud (CSC) ed API per la firma del codice che alimentano eSigner Express e CodeSignTool per lo sviluppo delle proprie app di firma del codice front-end.
Conclusione
La firma del codice EV è diventata una necessità per molti sviluppatori. Con la maggiore dipendenza odierna dal lavoro remoto e dalla cooperazione asincrona, uno strumento veloce, affidabile e sicuro per la firma del codice EV remoto che enfatizza anche la condivisione del team è un'aggiunta essenziale all'arsenale di qualsiasi sviluppatore e editore di software. eSigner soddisfa tali esigenze nel modo più conveniente, versatile, scalabile e potente, nel rispetto dei più elevati standard di sicurezza del settore.
Come posso provare eSigner?
eSigner è attualmente disponibile per tutti i clienti che firmano codici EV di SSL.com e firmano documenti come servizio in abbonamento con livelli di servizio per supportare organizzazioni e aziende di tutte le dimensioni. Si prega di controllare pagina principale dell'eSigner per i dettagli sui prezzi. Per ulteriori informazioni sulla firma del codice cloud eSigner, dai un'occhiata a queste guide e procedure di SSL.com oppure utilizza il modulo di informazioni di seguito per contattare il team di vendita aziendale di SSL.com.
Guide e procedure per la firma del codice eSigner
- Firma remota del codice EV con eSigner
- Guida ai comandi di eSigner CodeSignTool
- Condivisione in team per documenti eSigner e certificati di firma del codice EV
Modulo di richiesta informazioni eSigner
