Opzioni di archiviazione del certificato di firma del codice
Il certificato di firma del codice deve essere sempre archiviato su un dispositivo sicuro, che è un presupposto per la sua affidabilità. L'archiviazione su token impedisce inoltre l'abuso, poiché è protetto da password e la chiave privata non può essere esportata. Presentiamo le opzioni di archiviazione dei certificati di firma del codice che i nostri clienti possono utilizzare.
Keylocker
Il modo più sicuro e moderno di archiviare il certificato nel cloud. Una volta emesso, il certificato di firma del codice viene caricato nel servizio Keylocker, dove si accede da remoto e si firma usando il metodo del hash signing. È veloce, sicuro e non devi assolutamente preoccuparti della sicurezza del certificato e della chiave privata. Maggiori informazioni sul servizio Keylocker sono disponibili nell'articolo DigiCert KeyLocker (cloud HSM).
Nell'ordine del certificato di firma del codice, basta scegliere Keylocker come opzione di archiviazione, quindi riceverai un invito all'account DigiCert ONE dove sarà disponibile il certificato emesso. L'autenticazione e la comunicazione con DigiCert ONE vengono poi facilmente configurate tramite un assistente. Puoi continuare a firmare utilizzando signtool o un altro strumento a cui sei abituato, ma avrai a disposizione anche le utilità di firma di DigiCert.
Il metodo di firma hash signing non è solo il più sicuro, ma anche il più veloce. Si firma solo l'hash del file, non l'intero file (come fa signtool).
Archiviazione su token hardware
Il vecchio modo di archiviare il certificato di firma del codice. Attualmente le CA utilizzano il token SafeNet 5110. Consente anche l'archiviazione di altri certificati e garantisce la loro protezione efficace contro il furto.
I certificati sono archiviati sul token insieme alle chiavi private e le chiavi private non possono essere esportate. Per lavorare con i certificati è necessario sbloccare il token con una password; dopo 10 inserimenti errati della password, il token viene bloccato e diventa inutilizzabile. Gli attacchi a forza bruta per indovinare la password sono quindi esclusi.
La specifica tecnica del token è disponibile sul sito del produttore o nel di prodotto.
È supportato nei sistemi operativi Windows Server 2008/R2, Windows Server 2012 e 2012 R2, Windows 7, Mac OS, Linux, Windows 8 e Windows 10/11. Si connette tramite porta USB standard (USB type A) e la memoria per le chiavi è di 80k. Soddisfa ISO 7816-1 a 4.
Archiviazione su HSM (Hardware Security Module)
Il dispositivo chiamato HSM è un hardware specializzato per la memorizzazione di chiavi, certificati o altre informazioni crittografiche (Wikipedia). L'HSM funziona come un server e spesso sembra anche un server rack.
Se la vostra organizzazione dispone di questo hardware specializzato, può sfruttarlo per archiviare i certificati di firma del codice (e ovviamente altri certificati) al posto del token e semplificare (o automatizzare) il processo di firma.
Tuttavia, non è necessario acquistare un HSM se non ne possiedi uno. L'opzione di archiviazione su HSM può essere utilizzata anche se desideri che il certificato di firma del codice sia archiviato nel cloud di terze parti, ad esempio nel servizio Azure Key Vault o simili. Questo è possibile, ma il CSR deve essere creato in questo caveau.
L'opzione di archiviazione su HSM fa parte dell'ordine del certificato CS DigiCert. Tieni presente che se scegli questa opzione, la CA DigiCert richiederà la prova che possiedi un dispositivo sicuro e auditato.
Ci dispiace che non ci hai trovato il necessario.
Ci aiuterai a migliorare l'articolo? Facci sapere cosa qui aspettavi e non hai scoperto.