Implementazione della firma del codice con Google Cloud HSM

Le autorità di certificazione come SSL.com hanno recentemente rafforzato gli standard di archiviazione delle chiavi per i certificati Code Signing, ora imponendo l'archiviazione della chiave privata del certificato su un token USB fisico o su un modulo di sicurezza hardware (HSM) conforme.  A partire dal 1° giugno 2023, tutti i certificati di firma del codice SSL.com non saranno più emessi come file pfx scaricabili. Questa modifica è conforme al forum dell'autorità di certificazione/browser (CA/B). nuovi requisiti di archiviazione delle chiavi per aumentare la sicurezza delle chiavi di firma del codice. La regola precedente consentiva l'emissione di certificati di firma del codice di convalida dell'organizzazione (OV) e di convalida individuale (IV) come file scaricabili. Poiché i nuovi requisiti consentono solo l’uso di token USB crittografati o dispositivi hardware conformi a FIPS basati su cloud per archiviare il certificato e la chiave privata, si prevede che i casi di chiavi di firma del codice rubate e utilizzate in modo improprio da parte di malintenzionati saranno notevolmente ridotti. Anche se l’uso di token USB presenta sfide nell’integrazione con le moderne pipeline CI/CD e la gestione di un HSM fisico in ufficio può essere complessa, esiste un’alternativa efficiente. Google Cloud offre una soluzione pratica: affittare un unico slot per chiave sul proprio servizio HSM. Questo approccio non solo è conveniente, ma è anche in linea con i più recenti standard di conformità FIPS 140-2 Livello 2, il tutto eliminando la necessità di gestione dei dispositivi fisici. Questo articolo ti guiderà attraverso il processo di configurazione di questa soluzione intermedia.

Certificati di firma del codice EV di SSL.com sono affidabili in tutto il mondo per firmare digitalmente il codice software con firme digitali sicure. 

ACQUISTA IL TUO CERTIFICATO DI FIRMA DEL CODICE EV SSL.COM

 

Comprendere il processo di firma del codice con un HSM basato su cloud

Per cogliere l'essenza della procedura di firma del codice utilizzando un modulo di sicurezza hardware (HSM) basato su cloud, è utile esaminare i componenti:
  • Certificato di firma del codice: un certificato digitale emesso da un'autorità di certificazione (CA) attendibile che gli sviluppatori di software utilizzano per firmare digitalmente il proprio software, script ed eseguibili. Questo certificato funge da firma digitale che verifica l'identità dello sviluppatore o dell'editore e garantisce che il codice non sia stato alterato o compromesso da quando è stato originariamente firmato. 
  • Google Cloud: offre servizi che supportano lo sviluppo e l'implementazione sicuri di software, inclusa l'infrastruttura per la generazione e la gestione sicura delle chiavi crittografiche utilizzate nel processo di firma del codice.
  • Google Cloud HSM per la protezione delle chiavi: un robusto modulo di sicurezza hardware ospitato nell'infrastruttura di Google Cloud, dedicato a proteggere la tua chiave privata da accessi non autorizzati.
  • Strumento di firma: un'applicazione software o un'utilità progettata per firmare digitalmente programmi e applicazioni software. Questa firma digitale garantisce all'utente finale che il software non è stato alterato o compromesso da quando è stato firmato dallo sviluppatore o dall'editore.
  • Time Stamping Authority (TSA): un servizio di terze parti fidato, tipicamente gestito dalla tua Certificate Authority (CA), che ha il compito di dimostrare che il codice è stato firmato durante il periodo di validità del certificato digitale utilizzato per la firma, anche se il certificato successivamente scade o viene revocato.

Registrazione di un account Google Cloud

Il primo passo nella configurazione della tua configurazione prevede la creazione di un account con Google Cloud Platform. Una volta attivo il tuo account, è necessario creare un nuovo progetto e abilitare la fatturazione. Fornire i dati di pagamento è necessario per poter procedere con la configurazione.

Genera la tua coppia di chiavi, CSRe dichiarazione di attestazione

Prima di emettere certificati di firma del codice o di firma di documenti attendibili di Adobe, SSL.com richiede la conferma che la chiave di firma privata del cliente è stata generata ed è contenuta in modo sicuro all'interno di un dispositivo certificato FIPS 140-2 Livello 2 (o superiore). Questo dispositivo garantisce che la chiave non possa essere estratta e la verifica di questa protezione viene definita attestazione. Il Cloud HSM di Google, che utilizza dispositivi prodotti da Marvell (in precedenza Cavium), è in grado di generare dichiarazioni di attestazione firmate per chiavi crittografiche. SSL.com può convalidare queste dichiarazioni prima di emettere certificati di firma del documento o di firma del codice. Per indicazioni su come generare la coppia di chiavi e la dichiarazione di attestazione, consulta la documentazione sulla gestione delle chiavi cloud di Google: Una volta ottenuta la coppia di chiavi, CSRe la dichiarazione di attestazione pronta, inviali a SSL.com per la verifica e l'emissione del certificato. IL strumento open source dall'utente GitHub mascherini per creare un file CSR e firmarlo utilizzando una chiave privata di Google Cloud HSM può essere particolarmente utile. SSL.com addebita una tariffa di $ 500.00 USD per l'attestazione HSM di Google Cloud. Inoltre, forniamo vari livelli di prezzo per i certificati utilizzati su piattaforme HSM cloud, a seconda delle operazioni di firma massime annuali. Per informazioni dettagliate sui prezzi, fare riferimento al ns Livelli tariffari di Cloud HSM guida. Le attestazioni possono essere eseguite utilizzando il file CIAO (Bring Your Own Auditor) quando il proprietario di un HSM opta per l'attestazione di generazione di chiavi senza i servizi di SSL.com. Questo metodo è applicabile a qualsiasi cerimonia di generazione delle chiavi (KGC) di un HSM conforme, anche quelli non coperti dall'attestazione di SSL.com. BYOA richiede una preparazione meticolosa per evitare il rischio di rifiuto della chiave. Tali problemi richiedono la ripetizione della cerimonia, comportando costi aggiuntivi e ritardi. Per prevenire questi problemi, gli specialisti dell'assistenza clienti e della convalida di SSL.com guidano in modo proattivo i clienti prima del KGC.

Ordina il tuo certificato di firma del codice

Tutti i certificati di firma del codice SSL.com possono essere acquistati con durate di 1-3 anni con sconti per durate più lunghe oltre alla comodità di dover sottoporsi a un processo di convalida solo una volta per i certificati di durata più lunga.     Il seguente articolo collegato descrive in dettaglio come ordinare un certificato di firma del codice e navigare tra queste opzioni: Processo di ordinazione per certificati di firma di codici e documenti Per soluzioni personalizzate, sconti per volumi elevati, opzioni HSM esterne, preventivi ufficiali o per qualsiasi altra guida, contattare sales@ssl.com.

Sottoponiti al processo di valutazione per ottenere il tuo certificato

Oltre a generare la tua coppia di chiavi, CSRe la dichiarazione di attestazione, SSL.com richiede particolari documenti e informazioni di registrazione prima di poter ottenere un certificato di firma del codice. Il seguente articolo collegato descrive in dettaglio il processo di verifica:  Processo di convalida per la firma del documento, la firma del codice e i certificati di firma del codice EV.

Certificati di firma del codice EV di SSL.com sono affidabili in tutto il mondo per firmare digitalmente il codice software con firme digitali sicure. 

ACQUISTA IL TUO CERTIFICATO DI FIRMA DEL CODICE EV SSL.COM

 

Articoli Correlati

Twitter
Facebook
LinkedIn
Reddit
Email

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.