eSigner: Kodsignering som en tjänst

Digitalt innehåll distribueras ständigt online. Varje dag laddar vi ner körbara skript, applikationer och filer för olika affärs- och personliga aktiviteter. Både slutanvändare och utvecklare behöver ett säkert sätt att veta att mjukvaran som distribueras är tillförlitlig och säker mot manipulering.

Det är här kodsignering kommer in. De flesta datorplattformar, som Windows, har strikta regler om vilket innehåll som kan distribueras via deras kanaler eller köras på deras system. Det finns en mängd olika lösningar för programutvecklare för att följa dessa regler och se till att koden de skickar ut till världen inte äventyras.

Den moderna arbetsmiljön integrerar också fjärrarbete, asynkront samarbete och ett ökande behov av distribuerade teamdelningsalternativ. En av de mest robusta och praktiska lösningarna för kod- och dokumentsignering som innehåller dessa moderna trender är SSL.coms eSigner tjänst för molnsignering.

eSigners EV-kodsignering funktionalitet är ett bekvämt, snabbt och pålitligt sätt att utföra dina kodsignaturer.

BESTÄLL NU

Essentials för kodsignering

Kodsignering är proceduren för att tillämpa en digital signatur på en mjukvara som en applikation eller en drivrutin. Denna signatur tjänar ett dubbelt syfte för att säkerställa att både äktheten och integritet av koden:

  • Det ger kryptografiskt bevis på utvecklarens identitet (äkthet).
  • Det säkerställer att innehållet i programvaran inte har manipulerats från den tidpunkt då den skapades till dess att den används (integritet).

Giltigheten för undertecknarens certifikat och identitet bekräftas i sig av den digitala signaturen från en ansedd, offentligt betrodd certifieringsmyndighet (CA), som SSL.com, och bygger därmed en kedja av förtroende till CA: s rotcertifikat i plattformens trust store. Med denna kedja av förtroende etablerad kan operativsystem och slutanvändare vara säkra på att du är en pålitlig utvecklare och att det är säkert att installera din programvara i deras system.

Att inte använda ett kodsigneringscertifikat leder till varningsmeddelanden och fel när en användare försöker installera din programvara, som "Windows kan inte verifiera utgivaren av denna drivrutinsprogramvara." Ingen vill vara i den mottagande änden av en sådan situation, särskilt en utvecklare. Faktum är att efterlevnad av ett antal plattformsstandarder kräver kodsignering; till exempel kan du inte publicera Windows-kärnlägesdrivrutiner alls utan en EV-kodsigneringscertifikat.

Skydd mot manipulering

Digitala signaturer skyddar integriteten hos ett meddelande (i detta fall en kod) genom kryptografiska hashfunktioner. Dessa är matematiska algoritmer som kartlägger data till en bitmatris med förutbestämd storlek, kallad a hashvärde or meddelandet smälta. Kryptografiska hashfunktioner är envägsfunktioner, och till och med en liten förändring i det ursprungliga meddelandet resulterar i betydande förändringar i hashvärdet. Så när en användare tar emot meddelandet med dess hash-värde inkluderat i den digitala signaturen kommer deras operativsystem att använda samma hash-funktion på det mottagna meddelandet och jämföra de två sammandragen. Om de är identiska kan de vara säkra på att det mottagna meddelandet inte är differentierat från originalet. Om inte, kommer systemet att varna dem för att filen är skadad på något sätt.

Gå till toppen

Alternativ för kodsignering

Det finns ett antal tekniska alternativ för kodsignering, var och en med sina egna fördelar och nackdelar när det gäller säkerhetsnivån, prissättningen, användbarheten och användarvänligheten. Nedan kommer vi att ta en titt på dessa alternativ och vad de erbjuder.

Från och med den 1 juni 2023, SSL.com Organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat kommer endast att utfärdas antingen på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller genom vår eSigner molnkodsigneringstjänst. Denna ändring är i enlighet med certifikatutfärdaren/webbläsarforumets nya krav för nyckellagring för att öka säkerheten för kodsigneringsnycklar. Den tidigare regeln tillät att OV- och IV-kodsigneringscertifikat utfärdades som nedladdningsbara filer från internet. Eftersom de nya kraven endast tillåter användning av krypterade USB-tokens eller molnbaserade FIPS-kompatibla hårdvaruapparater för att lagra certifikatet och den privata nyckeln, förväntas det att fall av kodsigneringsnycklar som stulits och missbrukas av illvilliga aktörer kommer att minska avsevärt. Klick denna länk att lära sig mer om SSL.com eSigner molnkodsigneringslösning.

Lokalt installerade OV / IV-certifikat

Det första och enklaste alternativet är att ha en lokalt installerad organisation validerad (OV) eller individuell validering (IV) kodsigneringscertifikat och privat nyckel på din maskin. Dessa typer av certifikat distribueras av SSL.com i PKCS # 12 / PFX-filformatet och kan installeras i datorns certifikatbutik eller på vissa molntjänster som Azure Key Vault. För mer information om att beställa OV / IV-kodsigneringscertifikat från SSL.com, vänligen läs det här.

Fördelen med denna typ av kodsignering är relativt enkel implementering, och det är också det billigaste av de tillgängliga alternativen. Det ger emellertid inte säkerhetsnivån för en USB-token, HSM eller molnsigneringstjänst (se nedan) och denna typ av installation är inte acceptabel för Extended Validation (EV) -kodsignering. Denna sista information är särskilt viktig eftersom vissa applikationer (särskilt underteckna Windows 10-drivrutiner) kräver ett EV-certifikat.

För mer information om ämnet OV / IV kontra EV-certifikat, läs Vilket kodsigneringsintyg behöver jag? EV eller OV?
Gå till toppen

USB-token

Ett säkrare kodsigneringsalternativ är att använda en hårdvarusäkerhetsmodul (HSM) med en fysisk form. Den vanligaste HSM som används för kodsignering är en USB-token, somFIPS 140-2 validerade USB-tokens för säkerhetsnyckel SSL.com använder för att distribuera EV-kodsigneringscertifikat. Denna token är ansvarig för att lagra en användares certifikat och nycklar och är också säker mot manipulering och nyckelkompromettering, tack vare dess hårdvaruarkitektur och dess förpackning. USB-token används som en nyckel som måste sättas in fysiskt i en dator för att digitalt signera en mjukvara. Token kräver dessutom en PIN-kod för att få åtkomst för extra säkerhet.

Denna metod är för närvarande den vanligaste för EV-kodcertifikat, eftersom den ger hög säkerhet och enkelt implementeras av användare. Dessa små hårdvarutoken är också lätt bärbara och man kan underteckna var som helst.

Denna metod har dock sina brister. Först och främst kan det vara ganska dyrt för en organisation att köpa och byta ut dessa tokens. Särskilt i dagens avlägsna arbetsmiljö kan distribution och skötsel av hårdvarutoken vara en ganska logistisk utmaning för en IT-avdelning som kostar både ekonomiska och mänskliga resurser. Dessutom kan dessa polletter stulas eller förloras, vilket skapar säkerhetsgap med potentiellt hög risk för kompromiss, tillsammans med de höga kostnaderna för utbyte. Slutligen är de obekväma jämfört med molnbaserade alternativ för delning mellan utvecklare.

För att underlätta för våra kunder kan YubiKey-tokens köpas separat från SSL.com för användning med alla EV-kodsignering or dokumentsignering certifikat - inklusive eSigner-registrerade certifikat.
Gå till toppen

Nätverksansluten HSM

Att gå ett steg längre är ett annat alternativ att använda a nätverksanslutna HSM i molnet för att vara värd för kodsigneringscertifikat och nycklar. Exempel på sådana alternativ är molntjänster som Azure, AWS och Google Cloud. I det här fallet finns HSM i molnet istället för utvecklarens ficka.

Denna metod erbjuder säkerhetsstandarder på samma höga nivå som de fysiska enheterna eftersom de privata nycklarna inte kan exporteras från HSM, och åtkomst till digital signering kräver användarautentisering med de ovan nämnda tjänsterna. Den digitala signaturen kan appliceras var som helst, och EV-kodsignering är tillgänglig med detta alternativ. Denna metod är också lätt skalbar för att införliva nya medlemmar i en organisation och / eller ersätta digitala certifikat vid förlorade referenser.

Å andra sidan kan implementering av denna metod kräva extra kostnader och expertis, eftersom det kräver en viss kunskap med tekniken. För mer information, vänligen läs detta styra för de olika sätt som SSL.com stöder moln HSM-tjänster.

Gå till toppen

eSigner: Signering av molnkod som en tjänst

eSigner-logotypSlutligen handlar ett modernt och mycket praktiskt tillvägagångssätt om kodsignering som en tjänst. SSL.com: s eSigner molnsigneringstjänst är ett exempel på denna metod för kodsignering.

Med eSigner hanterar SSL.com både infrastrukturen för allmän nyckel (PKI) och HSM för kodsignering. De icke-exporterbara signeringsnycklarna lagras i eSigners HSM, där varken kunden eller SSL.com kan se dem. På det här sättet är säkerhetsstandarden lika hög som med tokens och HSM-moln, men det finns inget behov av klienten att hantera dem direkt.

eSigner använder OAUTH TOTP för säker tvåfaktorautentisering, vilket ger chansen för kodsignering från vilken internetansluten enhet som helst. eSigner stöder EV-kodsignering, så utvecklare kan använda den för att signera Windows 10-kärnlägesdrivrutiner.

eSigner gör också dela kodsigneringscertifikat mellan lagkamrater enkelt och säkert. Genom att använda SSL.com-instrumentpanelen är det enkelt att dela ett kodsigneringscertifikat, och varje medlem har sin egen PIN-kod. Den här funktionen i eSigner gör det möjligt för globalt spridda team att arbeta snabbt och asynkront, utan att äventyra organisationens säkerhet. Mer information om detta alternativ finns i detta how-to.

eSigner-alternativ

eSigner-miljön innehåller ett antal signeringsalternativ för företag för att tillgodose behoven hos en mängd olika kunder, från enskilda utvecklare till komplexa organisationer.

  • eSigner Express: Som namnet antyder är det här alternativet användbart för de tider som en fil behöver fjärrsigneras snabbt och bekvämt. eSigner Express är en webbaserad GUI-app och gör kodsignering extremt lätt genom att dra och släppa kodfiler.
  • CodeSignTool: CodeSign Tool är ett kommandoradsverktyg för EV-kodsignering certifikat som kan användas på olika plattformar, inklusive Windows, macOS och Linux. Det är särskilt användbart för att signera känsliga filer eftersom endast filernas hash skickas till SSL.com för signering istället för själva koden. CodeSignTool är också perfekt för att skapa automatiserad processer, till exempel signering av flera filer i batcher eller kontinuerlig integration / kontinuerlig leverans (CI / CD) pipeline-arbetsflöden. Mer information om användningen av CodeSignTool finns i detta styra.
  • API: SSL.coms företagskunder har åtkomst till detsamma Cloud Signing Consortium (CSC) och API för kodsignering som driver eSigner Express och CodeSignTool för utveckling av sina egna applikationer för kodsignering på fronten.
Gå till toppen

Slutsats

EV-kodsignering har blivit en nödvändighet för många utvecklare. Med dagens ökade beroende av fjärrarbete och asynkront samarbete är ett snabbt, pålitligt och säkert verktyg för fjärrstyrd EV-kodsignering som också betonar lagdelning ett viktigt tillskott till varje utvecklares och programvaruförlags arsenal. eSigner uppfyller dessa behov på det mest bekväma, mångsidiga, skalbara och kraftfulla sättet samtidigt som de uppfyller branschens högsta säkerhetsstandarder.

Gå till toppen

Hur kan jag prova eSigner?

eSigner är för närvarande tillgängligt för alla SSL.com EV-kodsignering och dokumentsigneringskunder som en prenumerationstjänst med servicenivåer för att stödja organisationer och företag i alla storlekar. Kontrollera huvudsidan för eSigner för prisuppgifter. För mycket mer information om eSigner-molnkodsignering, kolla in dessa SSL.com-guider och anvisningar, eller använd informationsformuläret nedan för att kontakta SSL.coms företagsförsäljningsteam.

Handböcker och e-signatur för eSigner-kod

Formulär för eSigner-information

Giannis Naziridis

Alla inlägg

Relaterade blogginlägg

Visa alla blogginlägg
Facebook LinkedIn Twitter youtube Github

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.

Ta undersökning