Aktywuj lub odnów podpis

Aktywuj podpis elektroniczny

Jak aktywować NOWY
podpis elektroniczy Certum?

Aktywacja e-podpisu

Odnowienie podpisu elektronicznego

Aktywacja ODNOWIENIA
e-podpisu Certum krok po kroku

Odnowienie podpisu

Aktywacja odnowienia podpisu elektronicznego - szczegółowa instrukcja

Panel

Język

Ułatwienia dostępu

Przywróć domyślne
Aktywuj lub odnów podpis

Aktywuj podpis elektroniczny

Jak aktywować NOWY
podpis elektroniczy Certum?

Aktywacja e-podpisu

Odnowienie podpisu elektronicznego

Aktywacja ODNOWIENIA
e-podpisu Certum krok po kroku

Odnowienie podpisu

Aktywacja odnowienia podpisu elektronicznego - szczegółowa instrukcja

Strona główna aktualności

2022-07-22

Regulacje certyfikatu Code Signing

 

Certyfikaty Code Signing to narzędzie kryptograficzne umożliwiające cyfrowe podpisanie kodu oprogramowania. Jednak aby podpisywanie kodu było bezpieczne, klucze certyfikatu, niezbędne do podpisania kodu, należy odpowiednio przechowywać. Do tej pory przepisy regulujące funkcjonowanie certyfikatu, w szczególnych wypadkach dopuszczały możliwość, wygenerowania kluczy do certyfikatu za pomocą oprogramowania dostępnego na komputerze. Stwarzało to pewną lukę, która mogła się przyczynić do zmniejszenia bezpieczeństwa certyfikatów, a potencjalny wyciek klucza prywatnego naraziłby oprogramowanie na kompromitację i potencjalne zmiany w jego kodzie. Dlatego tak ważne jest, aby klucz prywatny przechowywany był na bezpiecznym urządzeniu. W związku z tym 22 maja CA/Browser Forum, czyli grupa zajmująca się regulacjami dotyczącymi certyfikatów cyfrowych x.509, zatwierdziło głosowanie CSC-13, którego celem jest zwiększenie ochrony kluczy prywatnych certyfikatów podpisujących kod.

Jak nowe regulację wpłyną na certyfikaty Code Signing?

Od 15 listopada 2022 roku wymagane jest, aby klucze prywatne dla certyfikatów Code Signing obligatoryjnie były przechowywane na bezpiecznym urządzeniu kryptograficznym zgodnym z wymaganiami FIPS 140-2 lub Common Criteria EAL 4+: 7. Zmienia to poprzednie przepisy, które umożliwiały wygenerowanie kluczy w oprogramowaniu czy z wykorzystaniem TMP (Trusted Module Platform). Oznacza to, że para kluczy zostanie wygenerowana w urządzeniu, do którego nie można wyeksportować klucza prywatnego.  Dozwolone będzie:

  • generowanie i przechowywanie kluczy na bezpiecznym urządzeniu kryptograficznym, w tym rekomendowanej przez Certum karcie Starcos 3.5 lub sprzętowym module bezpieczeństwa serwera (HSM),
  • generowanie lub przechowywanie kluczy w chmurze. Certum od lat promuje rozwiązania chmurowe oraz umożliwia generowanie certyfikatów na chmurze Certum.,
  • przechowywanie klucza w usłudze Centrum Certyfikacji lub Zaufanego Dostawcy (Signing Service)

Jaki jest cel najnowszych zmian?

Cel, który przyświeca najnowszej zmianie to przede wszystkim zwiększenie ochrony klucza prywatnego, wykorzystywanego w procesie podpisywania kodu. Pomoże to zminimalizować ryzyko złamania lub kompromitacji klucza prywatnego. Dodatkowo standaryzuje obowiązujące przepisy, aby były one bardziej klarowne oraz jasno wskazywały na sposób przechowywania klucza. Celem jest ograniczenie naruszenia bezpieczeństwa klucza prywatnego certyfikatu podpisującego kod, co zmniejsza ryzyko instalowania podpisanego złośliwego oprogramowania w swoich systemach przez strony ufające.

Jakich certyfikatów dotyczy zmiana?

Zmiana dotyczy wszystkich certyfikatów wydanych po 15 listopada, innych niż EV Code Signing, czyli:

  • Standard Code Signing,
  • Open Source Code Signing.

W jaki sposób zmiana zostanie wprowadzona w życie?

Każdy urząd certyfikacji, który jest uprawiony do wydawania certyfikatów Code Signing będzie musiał upewnić się, że klucz prywatny został wygenerowany w sprzętowym module kryptograficznym przy użyciu mn. in.  jednej z następujących metod:

  • dostarczenie Użytkownikowi sprzętowego modułu kryptograficznego ze wstępnie wygenerowanymi parami kluczy,
  • dostarczenie rozwiązania chmurowego, za pomocą którego klucze są generowane w chmurze,
  • uzyskanie od Użytkownika zapewnienia za pomocą wewnętrznego lub zewnętrznego audytu IT wskazującego, że używa tylko odpowiedniego sprzętowego modułu kryptograficznego do wygenerowania pary kluczy.

Czytaj więcej: https://cabforum.org/wp-content/uploads/Baseline-Requirements-for-the-Issuance-and-Management-of-Code-Signing.v2.8.pdf

Gotowość Certum na powyższe zmiany

Certum jest poplecznikiem powyższej zmiany i od lat promuje bezpieczne przechowywanie klucza w chmurze Certum SimplySign lub na karcie kryptograficznej, zgonie z powyższymi regulacjami.  W Certum rolę bezpiecznego urządzenia spełnia:

  • karta kryptograficzna Starcos 3.5 – Certum Code Signing Set,
  • chmura Certum SimplySign – Certum Code Signing in the cloud.

Dzięki wygodzie korzystania, coraz więcej Użytkowników wybiera chmurę, która eliminuje konieczność posiadania karty, zwłaszcza w jego najwyżej wersji, czyli Code Signing EV.

Przeczytaj także