Alles, was Sie über die Zeitstempelbehörde wissen müssen

Was ist ein vertrauenswürdiger Zeitstempel und was ist eine Time Stamping Authority (TSA)? Welche verschiedenen Protokolle werden von der Time Stamping Authority (TSA) befolgt? Welche verschiedenen Schritte umfasst der von der Time Stamping Authority durchgeführte Zeitstempelprozess? Inwiefern ist dieses Konzept für den Code-Signaturprozess entscheidend? Was ist CodeSign Secure von Encryption Consulting? Lassen Sie uns das Thema vertiefen, um die Antworten auf diese Fragen zu verstehen:

Codesignatur ist eine Art digitale Signatur, die zur Sicherheit und Authentifizierung geistigen Eigentums in Form von Code oder Softwareprogrammen dient. Der Code-Signaturprozess nutzt mehrere Module zur Durchführung des Prozesses, um die technische Sicherheit und Integrität Ihres Codes/Softwareprogramms zu gewährleisten. Die Zeitstempelung ist ein zentraler Aspekt der Code-Signaturprozessarchitektur.

Lassen Sie uns zunächst verstehen, was genau der Code-Signaturprozess ist und welche verschiedenen Komponenten an der Code-Signaturarchitektur beteiligt sind. Dies führt uns zum Konzept des vertrauenswürdigen Zeitstempels und der Time Stamping Authority (TSA). Ein wichtiger Punkt ist, dass der Zeitstempelprozess auf Dokumente angewendet werden kann, die entweder durch digitale Signaturen oder elektronische Signaturen. 

Was ist ein Code Signing-Prozess?

In jüngster Vergangenheit wurden viele Technologieunternehmen von Hackern angegriffen, die den Quellcode manipulierten und beschädigten. Diese Angriffe schädigen den Ruf der Marke erheblich und führen zu enormen Verlusten für die betroffenen Unternehmen. Um diesem Problem zu begegnen, kann die Code-Signing-Technik eingesetzt werden, um die Code-Integrität zu schützen und dem Endbenutzer durch digitale Signaturen die Authentizität des Autors zu gewährleisten.

Code Signing ermöglicht eine sichere und vertrauenswürdige Verteilung von Software und verhindert Manipulationen, Beschädigungen und Fälschungen. Code Signing stärkt das Vertrauen der Endbenutzer in die Integrität von Software und Code sowie die Authentizität des Absenders.  

Beim Code Signing handelt es sich um das Anbringen einer digitalen Signatur auf einem Softwareprogramm, das zur Freigabe und Verteilung an Dritte oder Benutzer bestimmt ist. Dabei werden zwei Hauptziele verfolgt: Zum einen soll die Authentizität und das Eigentum an der Software nachgewiesen werden. Zum anderen soll die Integrität der Software nachgewiesen werden, d. h., es soll nachgewiesen werden, dass die Software nicht manipuliert wurde, beispielsweise durch das Einfügen von Schadcode.

Code Signing gilt für jede Art von Software: ausführbare Dateien, Archive, Treiber, Firmware, Bibliotheken, Pakete, Patches und Updates. Eine Einführung in Code Signing haben wir bereits in früheren Artikeln dieses Blogs gegeben. In diesem Artikel betrachten wir einige der geschäftlichen Vorteile des Signierens von Code.

Code Signing ist ein Verfahren zur Validierung der Authentizität von Software und eine Art digitaler Signatur auf PKI-Basis. Code Signing bestätigt die Authentizität und Originalität digitaler Informationen, beispielsweise eines Softwarecodes. Es gibt Nutzern die Sicherheit, dass diese digitalen Informationen gültig sind, und stellt die Legitimität des Autors sicher. Code Signing stellt außerdem sicher, dass diese digitalen Informationen nach der gültigen Signierung nicht geändert oder widerrufen wurden.

Code Signing spielt eine wichtige Rolle, da es die Identifizierung legitimer Software von Malware oder betrügerischem Code ermöglicht. Digital signierter Code stellt sicher, dass die auf Computern und Geräten ausgeführte Software vertrauenswürdig und unverändert ist.

Software ist die treibende Kraft Ihres Unternehmens und spiegelt dessen wahren Wert wider. Der Schutz der Software durch einen robusten Code-Signaturprozess ist unerlässlich, ohne den Zugriff auf den Code einzuschränken. So wird sichergestellt, dass es sich bei den digitalen Informationen nicht um Schadcode handelt und die Legitimität des Autors nachgewiesen wird.

Code Signing-Architektur

Die Code Signing Architecture bietet eine detaillierte Erklärung zur Funktionsweise des Code Signing-Prozesses und seiner Komponenten. Im Folgenden werden die vier wichtigsten Unterscheidungskomponenten der Code Signing Architecture aufgeführt.  

• Code-Signatursystem (CSS)
• Zertifizierungsstelle (CA)
• Zeitstempelbehörde (TSA)
• Verifizierer

Diese vier Komponenten zusammen ermöglichen den vollständigen Abschluss des Code-Signaturprozesses. Die Public Key Infrastructure (PKI) spielt eine entscheidende Rolle bei der Code-Signatur Ihrer wichtigen Dokumente.

Um mehr über den Code-Signaturprozess zu erfahren, lesen Sie unsere Blogbeiträge hier:

Was ist Code Signing? Wie funktioniert Code Signing?

In der obigen Architektur liegt unser Fokus auf der „Zeitstempelbehörde“, die derzeit ein optionaler Teil des Code-Signaturprozesses ist, aber langsam an Bedeutung gewinnt, um die Authentizität Ihres Codes/Softwareprogramms zu gewährleisten. Was ist also ein Zeitstempelprozess und welche Bedeutung hat diese Zeitstempelbehörde für den Zeitstempelprozess? Werfen wir einen Blick darauf:

Was ist ein Zeitstempelprozess?

Die Zeitstempelung ist ein optionaler Bestandteil des Codesignaturprozesses. Dabei bleibt die Gültigkeit der Codesignatursignatur durch die Software auch nach Ablauf des für die Codesignatur verwendeten Zertifikats erhalten. Dies dient als zusätzliche Kontrolle, da die für die Codesignatur verwendete Signatur auch nach Ablauf des Zertifikats erhalten bleibt und so ein reibungsloser Ablauf ohne Unterbrechungen gewährleistet wird. 

Sobald die ausführbare Datei der signierten Software auf einem Client-Rechner/-System ausgeführt wird, wird ihre digitale Signatur vom Betriebssystem des Benutzers überprüft. Angenommen, der Benutzer hat die Software mit einem Zeitstempel versehen. Der Computer des Benutzers überprüft die Signatur anhand des Zeitpunkts der digitalen Signatur und nicht anhand der aktuellen Systemzeit zum Zeitpunkt der Ausführung der Software.

Was ist die Time Stamping Authority (TSA)?

Eine optionale, aber wichtige Komponente der Code Signing Architecture ist die Time Stamp Authority (TSA). Zeitstempel bewahren die Quellzeit der Code-Signierung und ermöglichen die Akzeptanz von Software durch das Betriebssystem und andere Client-Geräteplattformen auch nach Ablauf des Zertifikats. Signierte Software wird anhand der Quellzeit der Zertifikatssignierung und nicht anhand der aktuellen Zeit validiert. Daher ist es immer ratsam, beim Code Signing die Zeitstempeltechnik zu verwenden.

Der mit einer digitalen Signatur signierte Code wird zur Zeitstempelung an TSA gesendet. TSA wendet seine eigene Signatur zusammen mit dem gültigen Quellzeitstempel an. TSA ist unabhängig vom Code Signing System und synchronisiert seine Uhr mit einer autoritativen Zeitquelle. 

Zeitstempelprotokolle

Zeitstempelbehörden befolgen bestimmte Protokolle für die Durchführung von Zeitstempelaktivitäten, um einen höheren Schutz und mehr Sicherheit zu gewährleisten. Es gibt zwei Hauptprotokolle, die von TSAs für die Zeitstempelung in der Regel befolgt werden.

• RFC 3161 – RFC 5035
• Microsoft Authenticode

RFC 3161 – Das in RFC 3161 definierte Zeitstempelprotokoll erfordert, dass die Cryptographic Message Syntax (CMS) SignedData [RFC5652], die zum Anwenden einer digitalen Signatur auf das Zeitstempeltoken verwendet wird, ein signiertes Attribut enthält, das das Zertifikat des Unterzeichners identifiziert.
Authenticode verwendet digitale Signaturtechnologie, um die Urheberschaft und Integrität von Binärdaten, wie z. B. installierbarer Software, zu gewährleisten. Ein Client-Webbrowser oder andere Systemkomponenten können die Authenticode-Signaturen verwenden, um die Integrität der Daten beim Herunterladen oder Installieren der Software zu überprüfen. Authenticode-Signaturen können mit vielen Softwareformaten verwendet werden, darunter .cab, .exe, .ocx und .dll.

Um mehr über Microsoft Authenticode zu erfahren, lesen Sie bitte die unten genannte Seite:

https://docs.microsoft.com/en-us/windows/win32/seccrypto/time-stamping-authenticode-signatures

Wie führt die Zeitstempelbehörde den Zeitstempelprozess durch?

Public-Key-Infrastrukturen (PKIs) spielen eine entscheidende Rolle bei der Durchführung des Zeitstempelprozesses durch die Time Stamping Authority (TSA). Lassen Sie uns die wichtigsten Schritte verstehen, die am Zeitstempelprozess beteiligt sind. 

Schritt 1:

Die Client-Anwendung stellt eine Verbindung mit dem Time Stamping Authority (TSA)-Dienst her. Nun wird ein Hash für den Code oder das Softwareprogramm erstellt, das mit einem Code signiert werden muss.

Schritt 2:

Der für den Code erstellte Hash wird zur Zeitstempelung an die Time Stamping Authority (TSA) gesendet. Sobald der Hash an die TSA gesendet wurde, müssen alle Änderungen am Code oder am gehashten Softwareprogramm dem TSA-Server mitgeteilt werden.

Schritt 3:

Die Zeitstempel-Autorität kombiniert den Hash der vom Client empfangenen Originaldatei mit dem vertrauenswürdigen Zeitstempel. Das Ergebnis wird mit einem sicheren privaten Schlüssel digital signiert. Dieser Signierungsprozess erstellt ein „Zeitstempel-Token“, das an den Client zurückgesendet wird.

Schritt 4:

Der Client erhält das von der Time Stamping Authority erstellte Zeitstempeltoken, das zusammen mit der Dokument- oder Codesignatur aufgezeichnet wird.

Wer kann Zeitstempel verwenden?

Vertrauenswürdige Zeitstempelverfahren können digitale oder elektronisch signierte Dokumente zusätzlich schützen. Dokumente, die mit einer elektronischen Signatur signiert sind, können mit einem Zeitstempel versehen werden. Empfänger können die Integrität des Dokuments nach dem Zeitstempel überprüfen. Bei digital signierten Dokumenten gibt es zwei Hauptgründe für die Einbindung eines vertrauenswürdigen Zeitstempels: Er gewährleistet die langfristige Validierung (LTV) der Signatur und erhöht die Nichtabstreitbarkeit bzw. das Vertrauen in den Zeitpunkt der Signatur. 

Encryption Consulting bietet die CodeSign Secure-Plattform für die digitale Signierung Ihrer wichtigsten und vertraulichsten Codes und/oder Softwareprogramme, um Sicherheit und Integrität zu gewährleisten. Nach der Code-Signierung mit CodeSign Secure unterstützen wir Sie bei der Durchführung eines vertrauenswürdigen Zeitstempelprozesses durch eine Time Stamping Authority (TSA).

Nachfolgend finden Sie eine kurze Beschreibung der CodeSign Secure-Plattform von Encryption Consulting (EC) und ihrer Vorteile.

CodeSign Secure-Plattform von Encryption Consulting (EC):

Die sichere Plattform CodeSign von Encryption Consulting (EC) bietet Ihnen die Möglichkeit, Ihren Softwarecode und Ihre Programme digital zu signieren. Hardware-Sicherheitsmodule (HSMs) Speichern Sie alle privaten Schlüssel, die für die Code-Signatur und andere digitale Signaturen Ihres Unternehmens verwendet werden. Unternehmen, die die CodeSign Secure-Plattform von EC nutzen, profitieren von folgenden Vorteilen:

• Einfache Integration mit führenden Anbietern von Hardware-Sicherheitsmodulen (HSM).
• Nur autorisierte Benutzer haben Zugriff auf die Plattform.
• Schlüsselverwaltungsdienst, um eine unsichere Aufbewahrung von Schlüsseln zu vermeiden.
• Verbesserte Leistung durch Beseitigung aller verursachten Engpässe.

Warum die CodeSign Secure-Plattform von EC verwenden?

Die Verwendung von CodeSign Secure von Encryption Consulting für Ihre Code-Sign-Vorgänge bietet zahlreiche Vorteile. CodeSign Secure hilft Kunden, immer einen Schritt voraus zu sein, indem es eine sichere Code-Signing-Lösung mit manipulationssicherer Speicherung der Schlüssel sowie vollständiger Transparenz und Kontrolle der Code-Signing-Aktivitäten bietet. Die privaten Schlüssel des Code-Signing-Zertifikats können in einem HSM gespeichert werden, um die Risiken durch gestohlene, beschädigte oder missbrauchte Schlüssel auszuschließen. Clientseitiges Hashing gewährleistet die Build-Performance und vermeidet unnötige Dateiverschiebungen, um ein höheres Maß an Sicherheit zu gewährleisten. Clientseitiges Hashing gewährleistet die Build-Performance und vermeidet unnötige Dateiverschiebungen, um ein höheres Maß an Sicherheit zu gewährleisten. Clientseitiges Hashing gewährleistet die Build-Performance und vermeidet unnötige Dateiverschiebungen, um ein höheres Maß an Sicherheit zu gewährleisten. Code-Signing-Clients erhalten über die CodeSign Secure-Plattform eine nahtlose Authentifizierung, um modernste Sicherheitsfunktionen wie clientseitiges Hashing, Multi-Faktor-Authentifizierung, Geräteauthentifizierung sowie mehrstufige Genehmiger-Workflows und mehr zu nutzen. Unterstützung von InfoSec-Richtlinien zur Verbesserung der Akzeptanz der Lösung und zur Ermöglichung eigener Workflows für die Code-Signierung in verschiedenen Geschäftsteams. CodeSign Secure ist mit einem hochmodernen clientseitigen Hash-Signaturmechanismus ausgestattet, der weniger Daten über das Netzwerk transportiert und es zu einem hocheffizienten Code-Signatursystem für die komplexen kryptografischen Operationen im HSM macht.

Managed PKI / CodeSign Secure von Encryption Consulting

Verschlüsselungsberatung LLC (EC) entlastet Sie vollständig von der Public-Key-Infrastruktur. Das bedeutet, dass EC sich um den Aufbau der PKI-Infrastruktur kümmert, um die PKI-Umgebung (lokal, PKI in der Cloud, cloudbasierte hybride PKI-Infrastruktur) Ihres Unternehmens zu verwalten. Neben PKI unterstützt Sie Encryption Consulting auch bei der Code-Signierung Ihrer wichtigen und hochsensiblen Dokumente, Codes und Softwareprogramme.

Encryption Consulting implementiert und unterstützt Ihre PKI mit einem vollständig entwickelten und getesteten Satz von Verfahren und geprüften Prozessen. Administratorrechte für Ihr Active Directory sind nicht erforderlich, und die Kontrolle über Ihre PKI und die damit verbundenen Geschäftsprozesse bleibt stets bei Ihnen. Aus Sicherheitsgründen werden die CA-Schlüssel außerdem in FIPS 140-2 Level 3 HSMs, die entweder in Ihrem sicheren Rechenzentrum oder in unserem Encryption Consulting-Rechenzentrum in Dallas, Texas, gehostet werden.

Fazit

Mit PKI-as-a-Service (Managed PKI) von Encryption Consulting profitieren Sie von allen Vorteilen einer effizienten PKI, ohne den Aufwand und die Kosten für den Betrieb der erforderlichen Soft- und Hardware tragen zu müssen. Ihre Teams behalten die nötige Kontrolle über den täglichen Betrieb, während Backend-Aufgaben an ein vertrauenswürdiges Team von PKI-Experten ausgelagert werden.