SSL.com 提供预装在 Yubikey FIPS 令牌上的代码签名证书,并且 Thales SafeNet (金雅拓) USB 转kens。两者都是通过代码签名进行安全身份验证的硬件设备,代码签名是使用 X.509 证书对一段代码、软件或其他可执行文件进行数字签名的过程,以确保产品未被篡改或以其他方式受到损害。每种方法都提供独特的功能和优势,具体取决于用户和组织的特定需求。以下是它们优缺点的详细比较:
有关 eSigner 的更多详细信息,请访问我们的 专用服务页面.
YubiKey 代币
优点
- 多功能性:YubiKey 支持多种身份验证协议,包括 FIDO U2F、FIDO2、智能卡 (PIV)、OTP 等,可满足各种安全需求。
- 易于使用:YubiKeys 以其简单性而闻名,只需轻轻一触即可进行身份验证,这在不影响安全性的情况下提高了用户的便利性。
- 耐用性:多款 Yubikey 型号均具有抗压和防水性能,对于外出用户来说非常耐用。
- 广泛集成:YubiKey 广泛支持各种平台和服务,增强了其对于需要多平台兼容性的用户的实用性。
- 远程认证:来自世界各地的 SSL.com 客户可以在自己的 YubiKey 上生成密钥对,并生成一份认证证书,以证明私钥是在设备上生成的。然后可以使用认证证书从 SSL.com 订购代码和文档签名证书,这些证书可以手动安装在 YubiKey 上。
缺点
- 成本:与其他安全令牌相比,YubiKeys 可能更昂贵,因此注重预算的企业或个人可能需要考虑。
- 物理设备:作为物理设备,它可能会丢失或被盗,如果管理不善,可能会带来风险。
- 有限的存储空间:与其他解决方案相比,某些 YubiKey 型号对其可存储的凭证或证书的数量有所限制。
- RSA 密钥大小受限:Yubikey 令牌无法支持大于 2048 位的 RSA 算法密钥大小。对于想要签署内核模式驱动程序并将其提交给 Microsoft Hardware Lab Kit 的用户来说,这是一个限制,因为 Microsoft Hardware Lab Kit 要求最小 RSA 密钥大小为 3072 位。
Thales SafeNet(金雅拓)代币
优点
- 强大的安全功能:Thales SafeNet 令牌提供先进的安全功能,包括防篡改硬件,使其适用于需要严格安全措施的环境。
- 灵活的解决方案:Thales SafeNet 提供一系列令牌,包括 USB 令牌和智能卡,满足不同用户的偏好和需求。
- 强大的企业关注度:Thales SafeNet 令牌的设计充分考虑了企业环境,提供了广泛的管理工具,有助于大规模部署和管理。
- 内核模式签名:Thales SafeNet Tokens 可以处理 3072 位 RSA 密钥,这是内核模式签名所必需的。未来可能会实现,但目前 Microsoft 仅允许使用 Gemalto 令牌在 RSA 中进行驱动程序模式签名。Microsoft 目前不允许在 ECC 中进行签名。
缺点
- 复杂性:额外的安全和管理功能可能会导致更高的学习曲线和更复杂的部署过程。
- 成本:与 YubiKey 类似,高级功能和强大的安全措施成本较高,可能并不适合所有用户。
- 不支持远程证明:寻求远程证明功能的用户可能需要考虑专门提供此功能的其他产品。
- 物理设备风险:与任何物理令牌一样,总是存在丢失或损坏的风险,可能会导致访问问题或安全漏洞。
- 软件依赖性:某些功能可能需要特定的软件或管理解决方案,这可能会引入依赖性和潜在的兼容性问题。
- 依赖电池的模型:一些高级代币可能需要电池,这增加了维护元素。
总结
SSL.com 提供预装在 Yubikey FIPS 令牌上的代码签名证书,并且 泰雷兹 SafeNet 至kens。它们都为数字证书和身份验证过程提供了强大的安全性。两者之间的选择通常取决于特定需求,例如预算限制、所需的安全级别、平台兼容性和用户便利性。YubiKey 可能更适合寻求跨多个平台的简单、多功能且易于使用的解决方案的用户,而 Thales SafeNet 令牌可能是需要高度安全、可定制和以企业为中心的解决方案的组织的选择。 由于 Yubikey 和 Thales SafeNet 令牌都是物理设备,因此存在丢失或被盗的风险,这会带来严重的安全漏洞,并可能导致昂贵的更换。在现代远程工作的背景下,管理这些硬件令牌的分发和维护会给 IT 团队带来巨大的后勤障碍,涉及大量费用和人力。然而,它们缺乏基于云的解决方案的便利性,特别是在开发人员之间的协作方面。 最终,这两种选择都旨在增强安全性,而不会显著妨碍用户体验,并且该决定应符合组织的安全策略和运营要求。eSigner:云签名作为令牌的替代品
数字签名即服务是一种管理数字签名的现代而有效的方法,例如 SSL.com 的 eSigner 云签名服务,它有助于代码和文档签名。eSigner 管理公钥基础设施(PKI) 和安全签名所需的硬件安全模块 (HSM)。该服务将不可导出的签名密钥安全地存储在其 HSM 中,客户和 SSL.com 均无法访问,从而确保了与物理令牌提供的安全级别相当,而客户无需麻烦。 为了增强安全性,eSigner 采用了 OAuth的TOTP 提供强大的双因素身份验证,支持从全球任何有互联网接入的设备对代码和文档进行签名。它还支持 EV 代码签名,允许开发人员对 Windows 10 内核模式驱动程序进行签名。 此外,eSigner 简化了通过 SSL.com 仪表板在团队成员之间共享签名证书的过程。这样团队成员就可以轻松访问证书,每个人都分配了一个唯一的 PIN。此功能支持分布在不同位置的团队进行无缝和安全的协作,确保高安全标准,而不会牺牲运营速度或效率。有关 eSigner 的更多详细信息,请访问我们的 专用服务页面.