デジタルコンテンツは常にオンラインで配信されています。 毎日、さまざまなビジネスおよび個人的な活動のために実行可能なスクリプト、アプリケーション、およびファイルをダウンロードしています。 エンドユーザーと開発者の両方が、配布されるソフトウェアが信頼性が高く、改ざんに対して安全であることを知るための安全な方法を必要としています。
これはどこですか? コード署名 Windowsなどのほとんどのコンピューティングプラットフォームには、チャネルを介して配信したり、システムで実行したりできるコンテンツについて厳格なルールがあります。 これらのルールに準拠し、世界中に送信するコードが危険にさらされないようにするために、ソフトウェア開発者にはさまざまなソリューションがあります。
また、最新のワークスペース環境では、リモートワーク、非同期連携、および分散型チーム共有オプションのニーズの高まりが統合されています。 これらの最新のトレンドを組み込んだコードおよびドキュメント署名のための最も堅牢で便利なソリューションのXNUMXつは、SSL.comの 電子署名者 クラウド署名サービス。
コード署名の要点
コード署名 アプリケーションやドライバーなどのソフトウェアにデジタル署名を適用する手順です。 この署名は、両方を保証するというXNUMXつの目的を果たします。 信頼性 および 整合性 コードの:
- これは、開発者のID(信頼性)の暗号化された証拠を提供します。
- これにより、ソフトウェアのコンテンツが、作成されてから使用されるまで改ざんされていないことが保証されます(整合性)。
署名者の証明書とIDの有効性は、SSL.comなどの信頼できる信頼できる認証局(CA)のデジタル署名によって確認され、構築されます。 信頼の鎖 プラットフォームのトラストストアにあるCAのルート証明書に。 この信頼の鎖が確立されると、オペレーティングシステムとエンドユーザーは、あなたが信頼できる開発者であり、システムにソフトウェアを安全にインストールできることを確信できます。
コード署名証明書を使用しないと、ユーザーがソフトウェアをインストールしようとしたときに、「Windowsはこのドライバーソフトウェアの発行元を確認できません」などの警告メッセージやエラーが発生します。 誰も、特に開発者は、そのような状況の受信側になりたくありません。 実際、多くのプラットフォーム標準に準拠するには、コード署名が必要です。 たとえば、Windowsカーネルモードドライバーを公開するには、 EVコード署名証明書.
改ざんに対する保護
デジタル署名は、メッセージ(この場合はコードの一部)の整合性を保護します 暗号化ハッシュ関数。 これらは、データを事前に設定されたサイズのビット配列にマップする数学的アルゴリズムです。 ハッシュ値 or メッセージダイジェスト。 暗号化ハッシュ関数は一方向性関数であり、元のメッセージを少し変更しただけでも、ハッシュ値が大幅に変更されます。 そのため、ユーザーがデジタル署名にハッシュ値が含まれているメッセージを受信すると、OSは受信したメッセージに同じハッシュ関数を適用し、XNUMXつのダイジェストを比較します。 それらが同一である場合、受信したメッセージが元のメッセージと区別されていないことを確信できます。 そうでない場合、システムはファイルが何らかの方法で破損していることを警告します。
コード署名のオプション
コード署名には多くの技術的なオプションがあり、それぞれに、提供されるセキュリティのレベル、価格設定、適用性、および使いやすさの点で独自の長所と短所があります。 以下では、これらのオプションとそれらが提供するものを見ていきます。
ローカルにインストールされたOV / IV証明書
最初の最も簡単なオプションは、ローカルにインストールされた組織を検証済み(OV)または個人を検証済み(IV)にすることです。 コード署名証明書 マシンの秘密鍵。 これらのタイプの証明書は、SSL.comによってPKCS#12 / PFXファイル形式で配布され、コンピューターの証明書ストアまたは次のような一部のクラウドサービスにインストールされる場合があります。 アズールキーホール。 SSL.comからのOV / IVコード署名証明書の注文の詳細については、以下をお読みください。 このハウツー.
このタイプのコード署名の利点は、実装が比較的簡単であり、利用可能なオプションの中で最も安価でもあります。 ただし、USBトークン、HSM、またはクラウド署名サービスのセキュリティレベルは付与されません(以下を参照)。このタイプのインストールは、Extended Validation(EV)コード署名には使用できません。 この最後の情報は、一部のアプリケーション(特に Windows10ドライバーへの署名)EV証明書が必要です。
USBトークン
より安全なコード署名オプションは、物理的な形式のハードウェアセキュリティモジュール(HSM)を使用することです。 コード署名に使用される最も一般的なHSMは、次のようなUSBトークンです。FIPS140-2検証済みセキュリティキーUSBトークン SSL.comは、EVコード署名証明書の配布に使用します。 このトークンは、ユーザーの証明書とキーを保存する役割を果たし、ハードウェアアーキテクチャとパッケージ化により、改ざんやキーの侵害に対しても安全です。 USBトークンは、ソフトウェアにデジタル署名するためにコンピューターに物理的に挿入する必要があるキーのように使用されます。 トークンには、セキュリティを強化するためにPINにアクセスする必要があります。
この方法は、高いセキュリティを提供し、ユーザーが簡単に実装できるため、現在EVコード証明書で最も一般的です。 これらの小さなハードウェアトークンも簡単に持ち運びでき、どこからでも署名できます。
ただし、この方法には欠点があります。 まず第一に、組織がこれらのトークンを購入して交換するのは非常に費用がかかる可能性があります。 特に今日のリモートワーク環境では、ハードウェアトークンの配布と管理は、IT部門にとって非常にロジスティックな課題であり、財務と人的資源の両方を犠牲にする可能性があります。 さらに、これらのトークンは盗まれたり紛失したりする可能性があり、セキュリティギャップが生じ、侵害のリスクが高くなる可能性があり、交換コストも高くなります。 最後に、開発者間で共有するためのクラウドベースのオプションと比較すると、不便です。
ネットワーク化されたHSM
さらに一歩進んで、別のオプションはを使用することです ネットワーク化されたHSM クラウドでコード署名証明書とキーをホストします。 そのようなオプションの例は次のとおりです。 クラウドサービス Azure、AWS、GoogleCloudなど。 この場合、HSMは開発者のポケットではなくクラウドにあります。
この方法では、秘密鍵をHSMからエクスポートできないため、物理デバイスと同じ高レベルのセキュリティ標準が提供されます。デジタル署名にアクセスするには、前述のサービスによるユーザー認証が必要です。 デジタル署名はどこからでも適用でき、EVコード署名はこのオプションで利用できます。 この方法は、組織の新しいメンバーを組み込んだり、資格情報が失われた場合にデジタル証明書を置き換えたりするために、簡単に拡張することもできます。
一方、この方法を実装するには、テクノロジーにある程度精通している必要があるため、追加の費用と専門知識が必要になる場合があります。 詳しくはこちらをご覧ください ガイド SSL.comがクラウドHSMサービスをサポートするさまざまな方法について。
eSigner:サービスとしてのクラウドコード署名
最後に、現代的で非常に便利なアプローチは、サービスとしてのコード署名を扱うことです。 SSL.comの 電子署名者 クラウド署名サービスは、コード署名に対するこのアプローチの例です。
eSignerを使用すると、SSL.comは両方の公開鍵インフラストラクチャを処理します(PKI)およびコード署名用のHSM。 エクスポートできない署名キーはeSignerのHSMに保存され、顧客もSSL.comもそれらを表示できません。 このように、セキュリティ標準はトークンやクラウドHSMと同じくらい高いですが、クライアントがそれらを直接処理する必要はありません。
eSignerはOAUTHTOTPを使用して安全な10要素認証を行うため、場所に関係なく、インターネットに接続された任意のデバイスからコード署名を行うことができます。 eSignerはEVコード署名をサポートしているため、開発者はこれを使用してWindowsXNUMXカーネルモードドライバーに署名できます。
eSignerも コード署名証明書の共有 チームメイト間で簡単かつ安全に。 SSL.comダッシュボードを使用すると、コード署名証明書を簡単に共有でき、各メンバーは独自のPINを持っています。 eSignerのこの機能により、組織のセキュリティを損なうことなく、グローバルに分散したチームが迅速かつ非同期に作業できるようになります。 このオプションの詳細については、こちらをご覧ください ハウツーものの.
eSignerオプション
eSigner 環境には、個々の開発者から複雑な組織まで、さまざまな顧客のニーズに対応するためのエンタープライズ署名オプションが多数含まれています。
- eSigner Express: 名前が示すように、このオプションは、ファイルにリモートですばやく便利に署名する必要がある場合に役立ちます。 電子署名エクスプレス はWebベースのGUIアプリであり、コード署名を非常に簡単にします 簡単に コードファイルのドラッグアンドドロップを介して。
- CodeSignTool: コード署名ツール のコマンドラインユーティリティです EVコード署名 Windows、macOS、Linuxなどのさまざまなプラットフォームで使用できる証明書。 コード自体ではなく、ファイルのハッシュのみが署名のためにSSL.comに送信されるため、機密ファイルの署名に特に役立ちます。 CodeSignToolは作成にも最適です 自動の バッチでの複数のファイルの署名や継続的インテグレーション/継続的デリバリー(CI / CD)パイプラインワークフローなどのプロセス。 CodeSignToolの使用法の詳細については、こちらを参照してください。 ガイド.
- API: SSL.comの企業顧客は同じものにアクセスできます クラウド署名コンソーシアム(CSC) および コード署名API 独自のフロントエンドコード署名アプリの開発のためにeSignerExpressとCodeSignToolを強化します。
まとめ
EVコード署名は、多くの開発者にとって必要不可欠になっています。 今日のリモートワークと非同期協力への依存度が高まっているため、リモートEVコード署名用の高速で信頼性が高く、安全なツールであり、チーム共有も強調されています。これは、開発者やソフトウェア発行者の武器に欠かせないものです。 eSignerは、業界最高のセキュリティ標準に準拠しながら、最も便利で、用途が広く、スケーラブルで、強力な方法でこれらのニーズを満たします。
eSignerを試すにはどうすればよいですか?
eSignerは現在、すべてのSSL.com EVコード署名およびドキュメント署名のお客様が、あらゆる規模の組織および企業をサポートするサービス層を備えたサブスクリプションサービスとして利用できます。 確認してください eSignerのメインページ 価格の詳細については。 eSignerクラウドコード署名の詳細については、これらのSSL.comガイドとハウツーを確認するか、以下の情報フォームを使用してSSL.comのエンタープライズセールスチームにお問い合わせください。
eSignerコード署名ガイドとハウツー
eSigner情報リクエストフォーム
