eSigner: assinatura de código como serviço

O conteúdo digital é constantemente distribuído online. Todos os dias, baixamos scripts executáveis, aplicativos e arquivos para uma variedade de atividades comerciais e pessoais. Tanto os usuários finais quanto os desenvolvedores precisam de uma maneira segura de saber se o software distribuído é confiável e seguro contra adulteração.

Aqui é onde assinatura de código entra. A maioria das plataformas de computação, como o Windows, tem regras rígidas sobre o conteúdo que pode ser distribuído por meio de seus canais ou executado em seus sistemas. Existe uma variedade de soluções para desenvolvedores de software, a fim de cumprir essas regras e garantir que o código que eles enviam para o mundo não seja comprometido.

Além disso, o ambiente de espaço de trabalho moderno integra trabalho remoto, cooperação assíncrona e uma necessidade crescente de opções de compartilhamento de equipe distribuída. Uma das soluções mais robustas e convenientes para assinatura de código e documento que incorpora essas tendências modernas é SSL.com Assinatura eletrônica serviço de assinatura em nuvem.

eSigner Assinatura do código EV a funcionalidade é uma maneira conveniente, rápida e confiável de executar suas assinaturas de código.

PEÇA AGORA

Fundamentos da assinatura de código

Assinatura de código é o procedimento de aplicação de uma assinatura digital a um software, como um aplicativo ou driver. Esta assinatura tem um duplo propósito, para garantir tanto o autenticidade e integridade do código:

  • Ele fornece prova criptográfica da identidade do desenvolvedor (autenticidade).
  • Ele garante que o conteúdo do software não foi adulterado desde o momento em que foi criado até o momento em que é usado (integridade).

A validade do certificado e da identidade do signatário é ela própria confirmada pela assinatura digital de uma autoridade de certificação (CA) confiável e publicamente confiável, como SSL.com, construindo assim uma cadeia de confiança ao certificado raiz da CA no armazenamento confiável da plataforma. Com essa cadeia de confiança estabelecida, os sistemas operacionais e os usuários finais podem ter certeza de que você é um desenvolvedor confiável e de que a instalação do software em seus sistemas é segura.

Não usar um certificado de assinatura de código leva a mensagens de aviso e erros quando um usuário tenta instalar seu software, como “O Windows não pode verificar o editor deste software de driver”. Ninguém quer receber tal situação, especialmente um desenvolvedor. Na verdade, a conformidade com vários padrões de plataforma requer assinatura de código; por exemplo, você não pode publicar drivers de modo kernel do Windows sem um Certificado de assinatura de código EV.

Proteção contra adulteração

As assinaturas digitais protegem a integridade de uma mensagem (neste caso, um trecho de código) por meio de funções criptográficas de hash. Estes são algoritmos matemáticos que mapeiam dados para uma matriz de bits de tamanho pré-arranjado, chamado de valor de hash or resumo da mensagem. As funções de hash criptográficas são funções unilaterais e até mesmo uma pequena alteração na mensagem original resulta em alterações significativas no valor do hash. Portanto, quando um usuário recebe a mensagem com seu valor de hash incluído na assinatura digital, seu sistema operacional aplica a mesma função de hash à mensagem recebida e compara os dois resumos. Se forem idênticos, podem ter certeza de que a mensagem recebida não é diferenciada da original. Caso contrário, o sistema irá avisá-los de que o arquivo está corrompido de alguma forma.

Opções para assinatura de código

Há várias opções técnicas para assinatura de código, cada uma com seus prós e contras em termos de nível de segurança oferecido, preço, aplicabilidade e facilidade de uso. A seguir, daremos uma olhada nessas opções e no que elas oferecem.

A partir de 1 de junho de 2023, SSL.com Os Certificados de Assinatura de Código de Validação de Organização (OV) e Validação Individual (IV) só serão emitidos em tokens USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou por meio de nosso serviço de assinatura de código em nuvem eSigner. Essa alteração está em conformidade com os novos requisitos de armazenamento de chaves do Fórum de autoridade de certificação/navegador (CA/B) para aumentar a segurança das chaves de assinatura de código. A regra anterior permitia que os certificados de assinatura de código OV e IV fossem emitidos como arquivos para download da Internet. Como os novos requisitos permitem apenas o uso de tokens USB criptografados ou dispositivos de hardware compatíveis com FIPS baseados em nuvem para armazenar o certificado e a chave privada, espera-se que as ocorrências de chaves de assinatura de código roubadas e mal utilizadas por agentes mal-intencionados sejam bastante reduzidas. Clique este link para saber mais sobre o SSL.com Solução de assinatura de código em nuvem eSigner.

Certificados OV / IV instalados localmente

A primeira e mais simples opção é ter uma organização instalada localmente validada (OV) ou validada individualmente (IV) certificado de assinatura de código e a chave privada em sua máquina. Esses tipos de certificados são distribuídos por SSL.com no formato de arquivo PKCS # 12 / PFX e podem ser instalados no armazenamento de certificados do seu computador ou em alguns serviços de nuvem, como Azure Key Vault. Para obter mais informações sobre como solicitar certificados de assinatura de código OV / IV em SSL.com, leia este tutorial.

A vantagem desse tipo de assinatura de código é a implementação relativamente fácil e também a mais barata das opções disponíveis. No entanto, ele não confere o nível de segurança de um token USB, HSM ou serviço de assinatura em nuvem (veja abaixo), e este tipo de instalação não é aceitável para assinatura de código de Validação Estendida (EV). Esta última informação é particularmente importante uma vez que algumas aplicações (notavelmente assinatura de drivers do Windows 10) exigem um certificado EV.

Para obter mais informações sobre o tópico de certificados OV / IV versus EV, leia Qual certificado de assinatura de código eu preciso? EV ou OV?

Tokens USB

Uma opção de assinatura de código mais segura é usar um Hardware Security Module (HSM) com um formulário físico. O HSM mais comum usado para assinatura de código é um token USB, como oTokens USB de chave de segurança validada FIPS 140-2 SSL.com usa para distribuir certificados de assinatura de código EV. Esse token é responsável por armazenar os certificados e chaves de um usuário e também é seguro contra adulteração e comprometimento de chaves, graças à sua arquitetura de hardware e seu empacotamento. O token USB é usado como uma chave que precisa ser inserida fisicamente em um computador para assinar digitalmente um software. Além disso, o token requer que um PIN seja acessado para segurança extra.

Este método é atualmente o mais comum para certificados de código EV, pois fornece alta segurança e é facilmente implementado pelos usuários. Esses pequenos tokens de hardware também são facilmente transportáveis ​​e podem ser assinados de qualquer lugar.

No entanto, esse método tem suas deficiências. Em primeiro lugar, pode ser bastante caro para uma organização comprar e substituir esses tokens. Especialmente no ambiente de trabalho remoto de hoje, distribuir e cuidar de tokens de hardware pode ser um grande desafio logístico para um departamento de TI, custando recursos financeiros e humanos. Além disso, esses tokens podem ser roubados ou perdidos, criando lacunas de segurança com um risco potencialmente alto de comprometimento, juntamente com o alto custo de substituição. Finalmente, eles são inconvenientes quando comparados às opções baseadas em nuvem para compartilhamento entre desenvolvedores.

Para a conveniência de nossos clientes, os tokens YubiKey podem ser adquiridos separadamente em SSL.com para uso com qualquer Assinatura de código EV or assinatura de documento certificado - incluindo certificados inscritos no eSigner.

HSM em rede

Indo um passo adiante, outra opção é usar um HSM em rede na nuvem para hospedar certificados e chaves de assinatura de código. Exemplos dessas opções são serviços na nuvem como Azure, AWS e Google Cloud. Nesse caso, o HSM está na nuvem e não no bolso do desenvolvedor.

Este método oferece padrões de segurança do mesmo alto nível que os dispositivos físicos, uma vez que as chaves privadas não são exportáveis ​​do HSM, e o acesso à assinatura digital requer autenticação do usuário com os serviços mencionados. A assinatura digital pode ser aplicada de qualquer lugar e a assinatura de código EV está disponível com esta opção. Este método também é facilmente escalável para incorporar novos membros de uma organização e / ou substituir certificados digitais em caso de perda de credenciais.

Por outro lado, a implementação deste método pode exigir despesas e conhecimentos adicionais, uma vez que requer um certo nível de familiaridade com a tecnologia. Para mais detalhes, por favor leia isto guia para as várias maneiras que SSL.com oferece suporte a serviços de HSM em nuvem.

eSigner: assinatura de código na nuvem como serviço

logotipo da eSignerFinalmente, uma abordagem moderna e muito conveniente é lidar com a assinatura de código como um serviço. SSL.com's Assinatura eletrônica serviço de assinatura em nuvem é um exemplo dessa abordagem para assinatura de código.

Com o eSigner, SSL.com lida com a infraestrutura de chave pública (PKI) e HSMs para assinatura de código. As chaves de assinatura não exportáveis ​​são armazenadas nos HSMs do eSigner, onde nem o cliente nem SSL.com podem visualizá-las. Dessa forma, o padrão de segurança é tão alto quanto com tokens e HSMs em nuvem, mas não há necessidade do cliente lidar com eles diretamente.

O eSigner usa OAUTH TOTP para autenticação segura de dois fatores, dando assim a chance de assinatura de código a partir de qualquer dispositivo conectado à Internet, independentemente da localização. O eSigner oferece suporte à assinatura de código EV, para que os desenvolvedores possam usá-lo para assinar drivers de modo kernel do Windows 10.

eSigner também faz compartilhar certificados de assinatura de código entre companheiros de equipe fácil e seguro. Usando o painel SSL.com, é fácil compartilhar um certificado de assinatura de código e cada membro tem seu próprio PIN. Este recurso do eSigner permite que equipes globalmente dispersas trabalhem de forma rápida e assíncrona, sem comprometer a segurança da organização. Para obter mais detalhes sobre esta opção, consulte este how-to.

Opções do eSigner

O ambiente eSigner inclui várias opções de assinatura corporativa para acomodar as necessidades de uma variedade de clientes, desde desenvolvedores individuais até organizações complexas.

  • Assinatura Eletrônica Expressa: Como o nome indica, esta opção é útil para aqueles momentos em que um arquivo precisa ser assinado remotamente de forma rápida e conveniente. Assinatura Eletrônica Expressa é um aplicativo GUI baseado na web e torna a assinatura de código extremamente fácil arrastando e soltando arquivos de código.
  • Ferramenta CodeSign: Ferramenta CodeSign é um utilitário de linha de comando para Assinatura de código EV certificados que podem ser usados ​​em várias plataformas, incluindo Windows, macOS e Linux. É especialmente útil para assinar arquivos confidenciais, uma vez que apenas os hashes dos arquivos são enviados para SSL.com para assinatura, em vez do próprio código. CodeSignTool também é ideal para criar automatizado processos, como a assinatura de vários arquivos em lotes ou fluxos de trabalho de pipeline de integração contínua / entrega contínua (CI / CD). Para obter mais detalhes sobre o uso de CodeSignTool, consulte este guia.
  • APIs: Os clientes empresariais de SSL.com podem acessar o mesmo Consórcio de assinatura em nuvem (CSC) e APIs de assinatura de código que capacita eSigner Express e CodeSignTool para o desenvolvimento de seus próprios aplicativos de assinatura de código de front-end.

Conclusão

A assinatura de código EV se tornou uma necessidade para muitos desenvolvedores. Com a crescente dependência de trabalho remoto e cooperação assíncrona, uma ferramenta rápida, confiável e segura para assinatura de código EV remoto que também enfatiza o compartilhamento da equipe é um acréscimo essencial ao arsenal de qualquer desenvolvedor e editor de software. O eSigner atende a essas necessidades da maneira mais conveniente, versátil, escalonável e poderosa, ao mesmo tempo em que atende aos mais altos padrões de segurança do setor.

Como posso experimentar o eSigner?

O eSigner está atualmente disponível para todos os clientes de assinatura de código EV SSL.com e assinatura de documentos como um serviço de assinatura com níveis de serviço para apoiar organizações e empresas de todos os tamanhos. Por favor, cheque o página principal do eSigner para detalhes de preços. Para obter mais informações sobre a assinatura do código de nuvem do eSigner, verifique esses guias e instruções de SSL.com ou use o formulário de informações abaixo para entrar em contato com a equipe de vendas corporativas de SSL.com.

Guias e instruções de assinatura de código do eSigner

Formulário de Solicitação de Informações do eSigner

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.