Toekomstige trends in Enterprise Code Signing. Waarop moeten we letten?

Code ondertekening is een cruciale stap in de huidige zero-trustwereld om de integriteit van infrastructuur en software te behouden. Wanneer codeondertekening correct wordt uitgevoerd, garandeert codeondertekening dat alleen de juiste personen en bronnen toegang hebben tot de ondertekening van code. Die ondertekening stelt gebruikers en apparaten in staat te beslissen welke software ze wel en niet vertrouwen.

Natuurlijk is het implementeren van de juiste codeondertekeningsmethoden om de gewenste eindtoestand te bereiken makkelijker gezegd dan gedaan, zoals met alles in de beveiligingsindustrie. Om te beschermen tegen inbreuken en bedreigingen voor de toeleveringsketenHet goed doen ervan zal echter een topprioriteit zijn voor 2023. Het belang van code signing zal aanzienlijk toenemen naarmate 2023 nadert. Daarom moeten we op toekomstige trends in code signing letten.

Wat is Enterprise Code Signing?

De methode van “code ondertekening"behelst het digitaal ondertekenen van uitvoerbare bestanden en scripts (of het nu software of firmware betreft) om het auteurschap van de software te verifiëren. Codeondertekening maakt gebruik van cryptografische hashing om de geldigheid te bevestigen en de integriteit van de code te garanderen door na te gaan of deze na publicatie niet is gewijzigd.

Simpel gezegd: we ondertekenen de code omdat we niet het risico willen lopen dat deze opzettelijk wordt beschadigd. Software is ongelooflijk belangrijk voor ons. Software-integriteit is daarom een ​​van onze belangrijkste aandachtspunten. Een beschadigd of "gekraakt" programma kan leiden tot:

• Verliezen in fondsen
• Menselijke slachtoffers
• Onzekerheid in de politiek
• Reputatieschade
• Andere grote rampen

Wat is een Enterprise Code Signing-certificaat?

Een Code Signing-certificaat is een digitaal certificaat die wordt uitgegeven door een Certificate Authority zoals GlobalSign en bevat informatie die een bedrijf volledig identificeert. Een publieke sleutel is wiskundig gekoppeld aan een privésleutel en is via een digitaal certificaat gekoppeld aan de identiteit van een organisatie. De zin “openbare sleutelinfrastructuur” (PKI) Verwijst naar het gebruik van zowel privé- als openbare sleutelsystemen. De eindgebruiker gebruikt de openbare sleutel van de ontwikkelaar om de identiteit van de ontwikkelaar te bevestigen zodra de ontwikkelaar de code ondertekent met zijn privésleutel.

Het digitale certificaat is bestemd voor het specifieke gebruik van code die digitaal is ondertekend; in PKI staat dit bekend als sleutelgebruik. Wanneer een digitale handtekening wordt gebruikt, wordt een tijdstempel toegevoegd. Dankzij deze tijdstempelfunctie is de ondertekende code gegarandeerd geldig tot lang nadat het digitale certificaat is verlopen. Zelfs als het digitale certificaat waarmee de code is ondertekend, in eerste instantie verloopt, is een nieuwe handtekening niet vereist, tenzij u meer code toevoegt of wijzigingen aanbrengt in de bestaande code.

Voorbeelden van codeondertekening

• Onder MS Windows

  U kunt alleen ondertekende PowerShell-scripts uitvoeren, ondertekende bibliotheken laden en ondertekende programma's uitvoeren via softwarebeperkingsregels. Code die niet is ondertekend, wordt nooit uitgevoerd! Codeondertekening is effectief, mits u andere regels hanteert en uw gebruiker geen overmatige flexibiliteit geeft.

• Op mobiele apparaten

  In de regel moet alle software ondertekend zijn

• OS-stuurprogramma's

  Allemaal ondertekend op elk platform

• Java Virtual Machine

  Het controleren van codehandtekeningen kan verplicht worden gesteld. Zo moeten applets bijvoorbeeld ondertekend zijn.

• Open-source archieven en pakketten

  Codeondertekening biedt de meest gevraagde authenticiteit, integriteit en veiligheid van software die binnen de open-sourcecommunity wordt gedistribueerd.

• POS-terminals en andere extreem veilige apparaten

  Alleen code die is ondertekend, mag worden uitgevoerd.

• Software voor medische en luchtvaartapparatuur is ondertekend

Op industriële of vitale schaal zijn er verschillende toepassingsscenario's waarbij codeondertekening een cruciale rol speelt, waaronder:

• e-overheid
• e-bankieren
• Internet of Things (IoT) Productie
• Energiecentrales

Verschillende soorten codeondertekeningscertificaten

Voor gebruik door het publiek vertrouwen zijn codeondertekeningscertificaten beschikbaar als Organisatievalidatie (OV) of standaardcertificaten en Extended Validation (EV)-certificaten.

Extended Validation (EV) Code Signing-certificaten 

Ze bieden alle voordelen van digitaal ondertekende code, plus een strenge screeningprocedure en hardwarebeveiligingseisen, wat de acceptatie en het vertrouwen vergroot. Hierdoor kunnen uw gebruikers nog meer vertrouwen hebben in de betrouwbaarheid van uw applicaties.

Voordelen van een EV-codeondertekeningscertificaat:

• Twee-factor-authenticatie

  Na aankoop van uw certificaat ontvangt u een USB-stick met een gecodeerde token met de privésleutel. Uw EV-codeondertekeningscertificaat biedt versterkte authenticatie en verbeterde beveiliging, omdat alleen degenen die het fysieke apparaat bezitten, de code ermee kunnen ondertekenen.

• Tijdsgevoelige ondertekening

  Uw handtekening blijft geldig, ook na de oorspronkelijke EV certificaat voor codeondertekening De code die gebruikt is om het te ondertekenen, is verlopen door een optioneel tijdstempel toe te voegen. Zonder tijdstempel verloopt uw ​​handtekening samen met het certificaat, waardoor een nieuwe codehandtekening nodig is.

• SmartScreen voor Microsoft Defender

  U krijgt automatisch de vertrouwde status in het reputatiefilter van Microsoft Defender SmartScreen®. Hierdoor worden waarschuwingen verminderd en wordt de reputatie van het merk en het vertrouwen onder gebruikers versterkt.

• Hulp bij hardwarebeveiligingsmodule

  U kunt DigiCert EV Code Signing-certificaten installeren op HSM's Om meer controle te hebben over uw certificaten en hun privésleutels. Het opgeslagen certificaat kan worden gebruikt om code te ondertekenen door iedereen binnen uw bedrijf met geautoriseerde toegang tot de HSM.

• Platformcompatibiliteit voor alle typen

  Om code voor een ander platform te ondertekenen (zoals Authenticode, Kernel Mode, etc.) hoeft u uw certificaat niet opnieuw uit te geven.

Organisatie Validatie (OV) Code Signing Certificaat

Organisaties zoals softwareuitgeverijen die hun softwareapplicaties willen ondertekenen met de gecertificeerde identiteit van een organisatie, kunnen het SSL.com OV Code Signing-certificaat gebruiken. Teams die ondertekenen met een gemeenschappelijke organisatie-ID profiteren het meest van het OV Code Signing-certificaat.

Organisatieauthenticatie is de eerste vereiste voor het verkrijgen van een Organization Validated Code Signing-certificaat. Hierbij probeert de certificeringsinstantie (CA) te bevestigen dat uw bedrijf een echt, bestaand bedrijf is met juridische status op de locatie waar het geregistreerd staat.

Wat is organisatie-authenticatie precies?

Het klopt wat er staat over de vereiste voor organisatie-authenticatie: de CA bevestigt dat uw organisatie een geregistreerde onderneming is. Als uw gegevens up-to-date zijn, zouden er geen problemen moeten zijn. Houd er echter rekening mee dat u ervoor moet zorgen dat al uw registratiegegevens correct zijn en dit weerspiegelen voordat uw bedrijf handelsnamen, pseudoniemen of DBA's gebruikt.

Meestal kan de bevoegde autoriteit dit bevestigen met behulp van een online overheidsdatabase. De bevoegde autoriteit raadpleegt de officiële website van uw gemeente, staat of land om te zien of daar informatie te vinden is over de registratie van bedrijven. Om uw certificaat snel te kunnen afgeven, moeten de gegevens die u aan de bevoegde autoriteit hebt verstrekt, uiteraard overeenkomen met de gegevens in de overheidsdatabase.

Raak niet in paniek als de bevoegde autoriteit geen toegang heeft tot een online overheidsdatabase om uw gegevens te verifiëren, omdat uw gegevens niet actueel zijn of helemaal niet worden verstrekt. Er zijn alternatieve manieren om aan deze criteria te voldoen.

• Officiële registratiedocumenten

  De CA kan ook officiële bedrijfsdocumenten accepteren die bewijzen dat uw organisatie een legitieme rechtspersoon is.

• Dun & Bradstreet

  Dun & Bradstreet is een bedrijf dat financiële rapporten over andere organisaties levert.

• Juridische Opinie Brief

  Een juridisch advies is een document waarin een advocaat of accountant in feite instaat voor de authenticiteit van uw organisatie.

Beleid en normen die van toepassing zijn op codeondertekening

Richtlijnen en processen voor het uitgeven en gebruiken van code-ondertekeningssleutels, inclusief die over onderwerpen als deze, maken deel uit van effectief code-ondertekeningsbeleid.

• Sleutel uitgifte

  Stel regels en richtlijnen op voor wie sleutels mag uitgeven en wanneer, tijdens het ontwikkelen van beheerprotocollen. Afhankelijk van hun functie moeten teamleden weten wanneer sleutels moeten worden gedistribueerd. Beheer de kenmerken die horen bij de verschillende sleuteltypen die worden uitgegeven. Zo kunt u voorkomen dat er nieuwe sleutels worden uitgegeven die kwetsbare algoritmen gebruiken en nieuwe aanvalsmogelijkheden bieden.

• Sleutelbeheer

  Configureer de besturingselementen en protocollen van gebruikersrollen. Wie beheert de sleutels? Welke rollen bestaan ​​er binnen teams, organisaties en verschillende productiefasen, en hoe zijn deze verdeeld in termen van sleutelbeheerHet bijhouden van de locatie van alle sleutels in het hele bedrijf zou onderdeel moeten zijn van deze procedures.

• Sleutelopslag

  Het beschermen van sleutels is noodzakelijk. Stel beperkingen en protocollen in voor zowel actieve als inactieve sleutelopslag. HSM's, tokens, USB's en sleuteltoegang met multifactorauthenticatie moeten hier allemaal deel van uitmaken. Sleutels mogen niet kwijtraken of verkeerd worden bewaard; teamleden moeten zich hiervan bewust zijn.

• Ondertekeningsrechten

  Teamleden moeten weten wie tekenbevoegd is en voor welke gelegenheden. Ze moeten weten wanneer de tekenbevoegdheid wordt geweigerd en hoe ze om ondertekening kunnen vragen als het niet hun verantwoordelijkheid is om dit te doen.

• Sleutelgebruik

  Correcte handtekeningtechnieken zijn cruciaal afhankelijk van hoe sleutels worden gebruikt – of juist niet. Sleutels moeten door de juiste partijen op het juiste moment worden gebruikt.

• Voorkomen van sleuteldeling

  Het is gebruikelijk om sleutels te delen. De procedure is ook een van de gevaarlijkste. Zelfs binnen de interne servers, netwerken en systemen van het team mogen teamleden nooit sleutels uitwisselen. Na de taak van elke persoon moeten sleutels op een unieke manier worden uitgegeven, beheerd en bewaard.

• Doorlopende ondertekening

  Beschouw code- en softwareondertekening nooit als een arbeidsintensief complianceproces of een bijzaak. Continuous Signing (CS) zou onderdeel moeten zijn van elke CI/CD-workflow om ervoor te zorgen dat codebeveiliging correct en consistent wordt toegepast.

Hoe werkt codeondertekening?

• Selecteer uw gewenste codeondertekeningscertificaat

  Wilt u de waarschuwing 'onbekende uitgever' permanent uit Windows Defender SmartScreen verwijderen? Selecteer het codeondertekeningscertificaat met extra validatie. Bent u op zoek naar een goedkopere oplossing? Zo ja, gebruik dan een codeondertekeningscertificaat voor organisatievalidatie. Het venster Windows User Access Control (UAC) toont nu uw gevalideerde digitale identiteit, maar Windows Defender SmartScreen blijft zichtbaar omdat het Windows-besturingssysteem en de browsers het niet automatisch vertrouwen.

  Voor OV-codeondertekeningscertificaten moet vertrouwen in de loop van de tijd organisch worden opgebouwd (in plaats van direct te worden verleend, zoals bij EV-codeondertekeningscertificaten). Dit moet worden toegevoegd aan uw bestelformulier voordat u het naar de certificeringsinstantie (CA) stuurt. Hiervoor kunt u het volgende gebruiken:

  • Windows MMC-console of OpenSSL.
  • Een browsergebaseerde CSR-generatortool.

• Genereer een privé-publiek sleutelpaar

  Maak een paar privé- en publieke sleutels. Omdat asymmetrische encryptie De basis van codeondertekening is: je hebt een openbaar en privé sleutelpaar nodig. Deze kunnen heel eenvoudig met OpenSSL worden aangemaakt:

  • Om uw RSA persoonlijke sleutel, open een terminalvenster en typ de volgende opdracht:

    openssl genrsa -out key.pem 3072

  • U kunt nu de volgende opdrachten gebruiken:

    openssl rsa -in cspprivatekey.key -pubout -out cspublickey.pem

    om uw openbare sleutel te extraheren.

  Klaar! U kunt nu uw openbare sleutel aan de CA doorgeven, hen het antecedentenonderzoek laten uitvoeren volgens het protocol en wachten tot u uw codeondertekeningscertificaat ontvangt.

• Hash uw code en versleutel deze

  Is je nieuwe codeondertekeningscertificaat eindelijk gearriveerd? Geweldig! Kom op, laten we hashen! Hoe? Je hebt je onbetaalbare code in feite via een eenrichtingshashfunctie gestuurd (d.w.z. het is bijna niet terug te draaien omdat het te veel resources en tijd kost). Een vooraf gedefinieerde alfanumerieke string, digest genaamd, die als uitvoer is gegenereerd, wordt gecodeerd met je privésleutel. Iedereen heeft in dit geval toegang tot de code, maar kan deze niet wijzigen.

• Voeg een tijdstempel toe

  Zolang het certificaat geldig was toen de code werd ondertekend, wordt de software nog steeds als authentiek beschouwd. Zo voorkomt u dat er foutmeldingen worden weergegeven wanneer uw certificaat uiteindelijk verloopt.

• Onderteken uw software

  U beschikt nu over alles wat u nodig hebt om uw eigen speciale digitale handtekeningblok te ontwerpen. Combineer:

  • Het overzicht
  • Het certificaat voor codeondertekening en
  • Gebruik de hashfunctie

  en voeg het nieuw gevormde handtekeningblok toe aan uw uitvoerbare bestand of code.

Hulpmiddelen voor codeondertekening

Hoewel ze verschillende toepassingen hebben, werken codeondertekeningstools op dezelfde manier als documentondertekeningstools. Een documentondertekeningstool (zoals DocuSign) maakt gebruik van digitale handtekeningen om te bevestigen dat alle partijen bij een document de voorwaarden ervan hebben geaccepteerd en dat het document sindsdien niet is gewijzigd. Met behulp van digitale handtekeningen kan een codeondertekeningstool aantonen dat het daadwerkelijk is geschreven door de genoemde ontwikkelaar en dat het document daarna niet is gewijzigd. Terwijl de andere tools uitvoerbare code ondertekenen, wordt één tool meestal gebruikt voor pdf's.

Gebruiksscenario's voor Code Signing Tool

Ontwikkelaars kunnen een digitale handtekening aan hun code toevoegen met behulp van veilige codeondertekeningstools, wat verschillende voordelen biedt. Hieronder volgen enkele typische use cases voor codehandtekeningen:

• Codehandtekening

  Een codehandtekening bevestigt dat een stuk software is geschreven door de persoon die beweert de maker ervan te zijn. Dit helpt bij de bescherming tegen malware zoals Trojaanse paarden en andere malware die zich voordoen als legitieme software om toegang te krijgen tot een computer.

• Software-integriteitsvalidatie

  De ondertekende gegevens mogen niet zijn gewijzigd sinds de digitale handtekening is gegenereerd om de transactie legitiem te laten zijn. Een codehandtekening verifieert dat er geen schadelijke of andere ongewenste functionaliteit aan de software is toegevoegd.

• Verdediging tegen aanvallen op de toeleveringsketen

  Aanvallen op de toeleveringsketen zoals SolarWinds Gebruik de modificatie van legitieme code om malware toe te voegen. Codehandtekeningen kunnen deze aanvallen lastiger maken, omdat de aanvaller zijn schadelijke code moet laten ondertekenen om geloofwaardig te zijn.

Deze voordelen moeten echter wel van toepassing zijn om de codeondertekeningsprocedure veilig te laten zijn. Als een aanvaller ondertekeningssleutels kan bemachtigen of een bedrijf kan overtuigen hun schadelijke code te ondertekenen, zal de schadelijke code voor gebruikers legitiem lijken.

CodeSign Secure: de ultieme Code Signing-tool die u nodig hebt!

Encryption Consulting biedt u het beste Code ondertekening gereedschap daarbuiten, CodeSign Secure Omdat het de meest efficiënte en gebruiksvriendelijke oplossing voor codeondertekening is, beschikt u over verschillende soorten ondertekening voor verschillende use-cases.

• Windows-ondertekening
• Jar Signer
• Open SSL-ondertekening

Wij bieden de bovengenoemde functies, maar stelt u zich eens voor dat al deze functies onder één dak zouden komen? Encryption Consulting KSP, een opdrachtregeltool die automatisch de bestandsextensie detecteert en de juiste ondertekeningsmethode toepast. Met slechts een paar invoergegevens retourneert KSP het ondertekende bestand binnen een mum van tijd. U hoeft niet te schakelen tussen apps; met KSP hebt u een gecentraliseerde werkruimte om al uw ondertekeningswerkzaamheden uit te voeren.

Wat onderscheidt ons bedrijf van andere bedrijven?

• Wij gebruiken CodeSign Secure, dat gebruik maakt van client-side hashing Dit biedt u een extra beveiligingslaag voor uw klanten. Door een bestand bij de bron te hashen, blijft de integriteit optimaal behouden en krijgt de klant een duidelijk beeld van het bestand en wat er na ondertekening gebeurt.
• Het bestand is binnenin ondertekend HSMen de sleutels worden nooit aan de buitenwereld getoond.
• Onze organisatie biedt op rollen gebaseerde toegangscontrole voor code-/bestandsondertekening, zodat de gebruiker de juiste toegang en rechten krijgt.
• Het voorzien van een tijdstempel op uw ondertekende code voorkomt het risico dat de software onverwacht verloopt wanneer het codeondertekeningscertificaat verloopt. Wanneer een codeondertekeningscertificaat verloopt, vervalt ook de geldigheid van de ondertekende software, tenzij de software een tijdstempel had toen deze werd ondertekend.
• CodeSign Secure maakt gebruik van de nieuwste richtlijnen en standaardnormen voor codeondertekening.

Conclusie

Software wordt wereldwijd gebruikt in de meeste onderdelen van het dagelijks leven en bedrijfskritische systemen. Daarom is het essentieel dat de code die op deze systemen wordt uitgevoerd, betrouwbaar is. In het tijdperk van digitalisering worden verschillende apps massaal gedownload of online gebruikt als services die routinematig digitaal worden bijgewerkt/gedistribueerd. Veilige codeondertekening is essentieel geworden, omdat applicaties met gevoelige gegevens, zakelijke transacties of handelingen die de veiligheid van mensenlevens in gevaar brengen, meer vereisen dan de gebruikelijke, kant-en-klare handtekeningtechnieken. Om onregelmatige, kwaadaardige en ongeverifieerde ondertekening te voorkomen, stelt dit artikel veilige handtekeningtechnieken voor die gebruikmaken van HSM's om het sleutelmateriaal op te slaan en veilige protocollen af ​​te dwingen.

Onze codeondertekeningstool, CodeSign Securebiedt een eenvoudige en efficiënte manier om uw code te ondertekenen en uw software te beschermen, zodat deze voldoet aan de normen van de huidige, beveiligingsbewuste digitale omgeving. Het is gebruiksvriendelijk en gemakkelijk te gebruiken.  

Kortom, codeondertekening is een essentieel hulpmiddel om de veiligheid en integriteit van software te waarborgen. Ons bedrijf biedt codeondertekening aan om gebruikers te garanderen dat de software die ze gebruiken afkomstig is van een betrouwbare bron en niet is gemanipuleerd door softwarecode digitaal te ondertekenen met een speciaal digitaal certificaat. Het is een beveiligingsmaatregel die is ontwikkeld om de veiligheid van onze klanten digitaal te prioriteren.