Digitalt innhold distribueres kontinuerlig på nettet. Hver dag laster vi ned kjørbare skript, applikasjoner og filer for en rekke forretnings- og personlige aktiviteter. Både sluttbrukere og utviklere trenger en sikker måte å vite at programvaren som distribueres er pålitelig og sikker mot manipulering.
Dette er hvor kodesignering kommer inn. De fleste databehandlingsplattformer, som Windows, har strenge regler for hvilket innhold som kan distribueres gjennom kanalene eller kjøres på systemene deres. Det finnes en rekke løsninger for programvareutviklere for å overholde disse reglene og sørge for at koden de sender ut til verden ikke kompromitteres.
Dessuten integrerer det moderne arbeidsområdet miljø eksternt arbeid, asynkront samarbeid og et økende behov for distribuerte lagdelingsalternativer. En av de mest robuste og praktiske løsningene for kode- og dokumentsignering som inkluderer disse moderne trendene, er SSL.com eSigner skysigneringstjeneste.
Essentials for kodesignering
Kodesignering er prosedyren for å bruke en digital signatur på et program som en applikasjon eller en driver. Denne signaturen tjener et dobbelt formål, for å sikre begge autentisitet og integritet av koden:
- Det gir kryptografisk bevis på utviklerens identitet (ekthet).
- Det sikrer at innholdet i programvaren ikke har blitt manipulert fra den ble opprettet til den ble brukt (integritet).
Gyldigheten av underskriverens sertifikat og identitet bekreftes i seg selv av den digitale signaturen til en anerkjent, offentlig pålitelig sertifiseringsmyndighet (CA), som SSL.com, og bygger dermed en kjede av tillit til CAs rotsertifikat i plattformens tillitsbutikk. Med denne tillitskjeden etablert, kan operativsystemer og sluttbrukere være sikre på at du er en pålitelig utvikler, og at det er trygt å installere programvaren i systemet.
Hvis du ikke bruker et kodesigneringssertifikat, fører det til advarsler og feil når en bruker prøver å installere programvaren, for eksempel "Windows kan ikke bekrefte utgiveren av denne driverprogramvaren." Ingen ønsker å være i mottakersiden av en slik situasjon, spesielt en utvikler. Faktisk krever overholdelse av en rekke plattformstandarder kodesignering; for eksempel kan du ikke publisere Windows-kjernemodusdrivere i det hele tatt uten en EV-kode signeringssertifikat.
Beskyttelse mot manipulering
Digitale signaturer beskytter integriteten til en melding (i dette tilfellet et stykke kode) gjennom kryptografiske hashfunksjoner. Dette er matematiske algoritmer som kartlegger data til et lite utvalg av forhåndsbestemt størrelse, kalt a hasjverdi or meldingsfordøyelse. Kryptografiske hashfunksjoner er enveisfunksjoner, og til og med en liten endring i den opprinnelige meldingen resulterer i betydelige endringer i hashverdien. Så når en bruker mottar meldingen med sin hash-verdi inkludert i den digitale signaturen, vil deres operativsystem bruke den samme hash-funksjonen på den mottatte meldingen og sammenligne de to fordøyelsene. Hvis de er identiske, kan de være trygge på at den mottatte meldingen ikke er differensiert fra originalen. Hvis ikke, vil systemet advare dem om at filen er skadet på en eller annen måte.
Alternativer for kodesignering
Det er en rekke tekniske alternativer for kodesignering, hver med sine egne fordeler og ulemper når det gjelder sikkerhetsnivået som tilbys, priser, anvendelighet og brukervennlighet. Nedenfor skal vi ta en titt på disse alternativene og hva de tilbyr.
Lokalt installerte OV / IV-sertifikater
Det første og enkleste alternativet er å få en lokalt installert organisasjon validert (OV) eller individuell validering (IV) kodesigneringssertifikat og privat nøkkel på maskinen din. Disse typer sertifikater distribueres av SSL.com i PKCS # 12 / PFX-filformat og kan installeres i datamaskinens sertifikatlager eller på noen skytjenester som Azure Key Vault. For mer informasjon om bestilling av OV / IV-kodesigneringssertifikater fra SSL.com, vennligst les hvordan du gjør det.
Fordelen med denne typen kodesignering er relativt enkel implementering, og den er også den billigste av de tilgjengelige alternativene. Imidlertid gir det ikke sikkerhetsnivået til en USB-token-, HSM- eller skysigneringstjeneste (se nedenfor), og denne typen installasjon er ikke akseptabelt for utvidet validering (EV) -kodesignering. Denne siste informasjonen er spesielt viktig siden noen applikasjoner (spesielt signere Windows 10-drivere) krever EV-sertifikat.
USB-tokens
Et sikrere kodesigneringsalternativ er å bruke en Hardware Security Module (HSM) med en fysisk form. Den vanligste HSM som brukes til kodesignering er et USB-token, somFIPS 140-2 validerte USB-tokens for sikkerhetsnøkkel SSL.com bruker til å distribuere EV-kodesigneringssertifikater. Dette tokenet er ansvarlig for å lagre en brukers sertifikater og nøkler og er også trygt mot tukling og nøkkelkompromittering, takket være maskinvarearkitekturen og innpakningen. USB-tokenet brukes som en nøkkel som må settes fysisk inn i en datamaskin for å signere et stykke programvare digitalt. Tokenet krever i tillegg en PIN-kode for å få tilgang for ekstra sikkerhet.
Denne metoden er for tiden den vanligste for EV-kodesertifikater, siden den gir høy sikkerhet og er lett implementert av brukere. Disse små maskinvaretokenene er også lett bærbare, og man kan signere hvor som helst.
Denne metoden har imidlertid sine mangler. For det første kan det være ganske dyrt for en organisasjon å kjøpe og erstatte disse tokens. Spesielt i det fjerntliggende arbeidsmiljøet i dag kan distribusjon og ivaretakelse av maskinvaretoken være en ganske logistisk utfordring for en IT-avdeling som koster både økonomiske og menneskelige ressurser. I tillegg kan disse tokens bli stjålet eller tapt, noe som skaper sikkerhetshull med potensielt høy risiko for kompromiss, sammen med de høye kostnadene for erstatning. Til slutt er de upraktiske sammenlignet med skybaserte alternativer for deling mellom utviklere.
Nettverk HSM
Å gå et skritt videre, er et annet alternativ å bruke a nettverksbasert HSM i skyen for å være vert for kodesigneringssertifikater og nøkler. Eksempler på slike alternativer er skytjenester som Azure, AWS og Google Cloud. I dette tilfellet er HSM i skyen i stedet for lommen til utvikleren.
Denne metoden tilbyr sikkerhetsstandarder på samme høye nivå som de fysiske enhetene, siden de private nøklene ikke kan eksporteres fra HSM, og tilgang til digital signering krever brukerautentisering med de nevnte tjenestene. Den digitale signaturen kan brukes hvor som helst, og EV-kodesignering er tilgjengelig med dette alternativet. Denne metoden er også lett skalerbar for å innlemme nye medlemmer i en organisasjon og / eller erstatte digitale sertifikater i tilfelle mistet legitimasjon.
På den annen side kan implementering av denne metoden kreve ekstra utgifter og ekspertise, siden det krever en viss grad av kjennskap til teknologien. For mer informasjon, vennligst les dette veilede for de forskjellige måtene som SSL.com støtter HSM-tjenester i skyen.
eSigner: Signering av sky -kode som en tjeneste
Til slutt er en moderne og veldig praktisk tilnærming å håndtere kodesignering som en tjeneste. SSL.coms eSigner skysigneringstjeneste er et eksempel på denne tilnærmingen til kodesignering.
Med eSigner håndterer SSL.com begge infrastrukturen for offentlig nøkkel (PKI) og HSM for kodesignering. De ikke-eksporterbare signeringsnøklene lagres i eSigners HSM-er, hvor verken kunden eller SSL.com kan se dem. På denne måten er sikkerhetsstandarden like høy som med tokens og HSM-er, men det er ikke noe behov for klienten å håndtere dem direkte.
eSigner bruker OAUTH TOTP for sikker tofaktorautentisering, og gir dermed sjansen for kodesignering fra hvilken som helst internettkoblet enhet uavhengig av plassering. eSigner støtter signering av EV-kode, slik at utviklere kan bruke den til å signere Windows 10-kjernemodusdrivere.
eSigner lager også deling av kodesigneringssertifikater mellom lagkameratene enkelt og trygt. Ved å bruke SSL.com-dashbordet er det enkelt å dele et kodesigneringssertifikat, og hvert medlem har sin egen PIN-kode. Denne funksjonen i eSigner gjør at globalt spredte team kan jobbe raskt og asynkront, uten å gå på bekostning av organisasjonens sikkerhet. For mer informasjon om dette alternativet, vennligst kontakt dette how-to.
eSigner-alternativer
eSigner-miljøet inkluderer en rekke signeringsalternativer for bedrifter for å imøtekomme behovene til en rekke kunder, fra individuelle utviklere til komplekse organisasjoner.
- eSigner Express: Som navnet antyder, er dette alternativet nyttig for de gangene en fil må signeres eksternt raskt og enkelt. eSigner Express er en nettbasert GUI-app og gjør kodesignering ekstremt lett gjennom å dra og slippe kodefiler.
- CodeSign Tool: CodeSign Tool er et kommandolinjeverktøy for EV-kode signering sertifikater som kan brukes på forskjellige plattformer, inkludert Windows, macOS og Linux. Det er spesielt nyttig for signering av sensitive filer, siden bare hasjene til filene blir sendt til SSL.com for signering, i stedet for selve koden. CodeSignTool er også ideelt for å lage automatisert prosesser, for eksempel signering av flere filer i batcher eller kontinuerlig integrering / kontinuerlig levering (CI / CD) rørledningsarbeidsflyter. For mer informasjon om bruk av CodeSignTool, se dette veilede.
- APIer: SSL.coms bedriftskunder kan få tilgang til det samme Cloud Signing Consortium (CSC) og API-er for kodesignering som driver eSigner Express og CodeSignTool for utvikling av egne front-end-kodesigneringsapper.
konklusjonen
EV-kodesignering har blitt en nødvendighet for mange utviklere. Med dagens økte avhengighet av fjernarbeid og asynkront samarbeid, er et raskt, pålitelig og sikkert verktøy for ekstern signering av EV-kode som også understreker teamdeling et viktig supplement til enhver utvikler og programvareutgivers arsenal. eSigner oppfyller disse behovene på den mest praktiske, allsidige, skalerbare og kraftige måten mens de oppfyller de høyeste sikkerhetsstandardene i bransjen.
Hvordan kan jeg prøve eSigner?
eSigner er for øyeblikket tilgjengelig for alle SSL.com EV-kodesigneringskunder og dokumentsigneringskunder som en abonnementstjeneste med servicenivåer for å støtte organisasjoner og bedrifter i alle størrelser. Vennligst sjekk hovedsiden for eSigner for prisinformasjon. For mye mer informasjon om signering av eSigner-skykode, sjekk ut disse SSL.com-guidene og veiledningene, eller bruk informasjonsskjemaet nedenfor for å kontakte SSL.coms bedriftens salgsteam.
Veiledninger og veiledninger for eSigner-kodesignering
- Ekstern signering av EV-kode med eSigner
- eSigner CodeSignTool kommandoguide
- Team Sharing for eSigner Document and EV Code Signing Certificate
Skjema for forespørsel om eSigner-informasjon
