CodeSign Secure v3.02: Framtiden för kodsignering med PQC

Utvecklad av Encryption Consulting, CodeSign Secure är en centraliserad, säker och skalbar kodsigneringsplattform byggd för att hjälpa organisationer att signera kod säkert utan att kompromissa med säkerhet eller hastighet. Vi har designat den för moderna DevOps-miljöer och integrerar med populära CI / CD-rörledningar (tycka om Azure DevOps, Jenkins, GitLab, och så vidare), och genomdriva strikta åtkomstkontroller och arbetsflöden för godkännande för att hålla din signeringsprocess ren och kompatibel.

Encryption Consultings CodeSign Secure fortsätter att utvecklas med lanseringen av version 3.02, som levererar en banbrytande uppdatering som integrerar stöd för Post-Quantum Cryptography (PQC). Den här nya versionen introducerar PQC, vilket gör den till en av de första kodsigneringslösningarna för företag som förbereder sig för kvantberäkningstiden. V3.02 inkluderar inbyggt stöd för MLDSA (Multivariate Lattice Digital Signature Algorithm) och LMS (Leighton-Micali Signatures), två ... NIST-erkända, kvantresistenta signaturscheman.

Oavsett om du redan funderar på kvantumberedskap eller bara vill stärka din kodsigneringsinfrastruktur, är Code Sign Secure v3.02 byggd för att hjälpa dig ligga steget före – säkert och smart.

Varför PQC är viktigt vid kodsignering

Låt oss inse det – kvantberäkning är inte längre bara en avlägsen teori. Den utvecklas snabbt, och även om den inte är mainstream än, är den tillräckligt nära för att organisationer inte har råd att ignorera dess inverkan på cybersäkerhet, särskilt när det gäller kodsignering.

Traditionella digitala signaturalgoritmer som RSA och ECC har tjänat oss väl i åratal, men de är sårbara för attacker från kraftfulla kvantdatorer. När dessa maskiner blir tillräckligt kapabla kan de knäcka dagens allmänt använda kryptografiska nycklar på en bråkdel av den tid det tar för klassiska datorer. Det är en stor sak för kodsignering.

Kodsignaturer är avsedda att bevisa att programvara inte har manipulerats och kommer från en betrodd källa. Om kvantdatorer kan förfalska dessa signaturer öppnar det dörren för allvarliga hot, såsom skadlig kod som utger sig för att vara betrodda appar, bakdörrar som infogas i programuppdateringar och mer. Det är här... Postkvantkryptering (PQC) kommer in

PQC-algoritmer är utformade för att vara motståndskraftiga mot kvantattacker. Genom att använda PQC i kodsigneringsarbetsflöden reagerar du inte bara på ett framtida problem – du skyddar proaktivt din programvaruleveranskedja på lång sikt. Det handlar om att framtidssäkra din förtroendemodell, särskilt för långlivad programvara som IoT-firmware, inbyggda system och applikationer av myndighetsklass.

CodeSign Secure v3.02 stöder PQC direkt, vilket ger organisationer ett försprång i att anpassa sig till nästa era av kryptografi utan att offra användbarhet eller prestanda. Det är ett smart drag nu och ett nödvändigt sådant för framtiden.

Nya PQC-algoritmer stöds i v3.02

MLDSA (44, 65, 87) och LMS

Med version 3.02, vår CodeSign Secure introducerar stöd för banbrytande Post-Quantum Cryptography (PQC)-algoritmer, vilket ger din kodsigneringsprocess en rejäl uppgradering av framtidsberedskap. Så, vad är nytt?

MLDSA (Multivariat Lattice Digital Signature Algorithm) – 44, 65, 87

Dessa är de tre styrkenivåerna för en kvantsäker digital signaturalgoritm baserad på gitterkryptografi. MLDSA är utformad för att ge stark säkerhet mot kvantattacker, samtidigt som den är tillräckligt effektiv för verkliga tillämpningar.

• MLDSA-44: Optimerad för hastighet och mindre signaturer, vilket är idealiskt för användningsområden med lättare signering.
• MLDSA-65: Ett balanserat alternativ som erbjuder stark säkerhet med bra prestanda.
• MLDSA-87: Den säkraste varianten, utmärkt för att signera känsliga eller värdefulla programvarutillgångar.

Genom att erbjuda flera MLDSA-nivåer låter vår CodeSign Secure dig välja rätt balans mellan prestanda och skydd, beroende på din programvara och dina regulatoriska behov.

LMS (Leighton-Micali Signatures) via PQSDK

LMS är en av de första PQC-algoritmerna som godkänts av NIST för digitala signaturer, och den är särskilt väl lämpad för långsiktigt integritetsskydd för firmware, IoT-enheter och kritiska infrastruktursystem. Vår CodeSign Secure v3.02 integrerar LMS via PQSDK, vilket gör att du enkelt kan signera programvara med kvanttåliga autentiseringsuppgifter som förblir pålitliga i många år framöver.

Vad är ännu bättre? Du kan även använda dessa PQC-algoritmer i hybridläge, dvs. signera med både klassiska (RSA/ECC) och kvantsäkra nycklar, vilket ger dig flexibiliteten att övergå smidigt utan att kompatibiliteten bryts.

Hybrida signeringsarbetsflöden: Stöd för klassiska och PQC-algoritmer

Låt oss vara ärliga, de flesta organisationer kommer inte att överge RSA eller ECC över en natt. Och det är helt okej. Att övergå till postkvantkryptografi (PQC) är en resa, inte ett knapptryck.

Därför är CodeSign Secure v3.02 byggd för att stödja hybrida signeringsarbetsflöden – vilket låter dig kombinera både klassiska (RSA/ECC) och kvantsäkra (MLDSA/LMS) algoritmer i samma signeringsprocess.

Vad innebär det för dig? Du kan fortsätta signera programvara med betrodda klassiska nycklar för kompatibilitet, samtidigt som du lägger till ett lager av PQC-skydd för framtidssäkring. Denna metod med dubbla signaturer säkerställer att din programvara förblir verifierbar både idag och i en post-kvantvärld, oavsett vilken typ av verifierare som kontrollerar signaturen.

Varför är det viktigt

• Smidig övergång: Anamma PQC i din egen takt utan att störa befintliga system eller användararbetsflöden.
• Ökad säkerhet: Dra nytta av styrkorna hos både klassiska och kvantresistenta signaturer.
• Bred kompatibilitet: Bibehåll stöd för äldre verktyg och plattformar samtidigt som du förbereder dig för kommande standarder.

Oavsett om du signerar programbinärfiler, firmware eller behållarbilderCodeSign Secure hanterar hybridsignering snyggt och effektivt, integrerat i dina CI/CD-pipelines och godkännandearbetsflöden som det alltid har funnits där.

Så om du vill förbereda dig för morgondagen utan att störa dagens behov, är hybridsignering lösningen, och CodeSign Secure gör det enkelt att ta sig över.

Använda MLDSA och LMS i CodeSign Secure v3.02: Steg-för-steg-guide

MLDSA

Steg 1. Gå till fliken Signeringsförfrågan i CodeSign Secure och klicka på Skapa MLDSA-nyckel.

Steg 2. Ange nödvändiga uppgifter i formuläret(Nyckelparametern är för MLDSA-algoritmparametern – MLDSA 44, 65, 87)

Steg 3. Efter att du har angett nödvändiga uppgifter klickar du på Skapa knapp.

Steg 4. Din MLDSA-nyckel kommer att skapas i HSM.

Steg 5. Nu ska vi skapa en digital signatur med hjälp av denna privata MLDSA-nyckel i HSM. Så, välj Hämta MLDSA-signatur och klicka på den.

Steg 6. Du kommer att bli ombedd att ange nödvändiga uppgifter:

• Key Alias ​​är den nyckelidentifierare du angav när du skapade MLDSA-nyckeln
• Ange ett SHA-256 hash för filen du vill signera.

Steg 7. Efter att du har angett lämpliga uppgifter klickar du på Skapa knapp.

Steg 8. En .sig-fil med MLDSA-signaturen kommer att laddas ner till ditt lokala system.

Steg 9. Så här kommer din MLDSA-signatur att se ut

LMS via PQSDK

Steg 1. Extrahera PQSDK-tarballen för installation

tar -xvzf libpqsdk-*.tar.gz

Steg 2. Konfigurera de miljövariabler som krävs för att använda PQSDK-verktyg.

källkod setup.sh

Steg 3. Generera en privat nyckel för LMS med hjälp av PQSDK

./pq-tool genkey –algo LMS –key-out lms.key

Steg 4. Extrahera den offentliga nyckeln för LMS från den privata nyckeln

./pq-tool getpub –key-in lms.key –pub-out lms.pub

Steg 5. Signera en fil (här, data.txt) med hjälp av LMS privata nyckel och skapa en signaturfil

./pq-tool signera –key-in lms.key –in data.txt –signera ut data.txt.sig

Steg 6. Verifiera LMS-signaturen för den signerade filen med motsvarande offentliga nyckel

./pq-tool verifiera –pub-in lms.pub –in data.txt –inloggning data.txt.sig

Steg 7. Skapa och ladda CodeSafe SEEWorld:

./csg-kompilera –input sign_lms.c –utput sign_lms.see./csg-load –load sign_lms.see –namn sign-lms-world

• csg-kompilera kompilerar signeringslogiken till en SEEWorld (säker enklav)
• csg-belastning laddar SEEWORLD i HSM med ett givet namn

Steg 8. Kör LMS-signering av en exempelfil i den laddade CodeSafe SEEWorld-miljön.

./csg-exec –world sign-lms-world –sign data.txt –sig-out data.txt.sig

Steg 9. Verifiera signaturen som skapats i SEEWorld med den offentliga nyckeln

./pq-tool verifiera –pub-in lms.pub –in data.txt –inloggning data.txt.sig

Användningsfall för PQC-baserad kodsignering

• Firmware-signering: Uppdateringar av firmware är ett kritiskt mål för angripare, särskilt inom IoT, fordonsindustrin och industrisystem. Post-kvantkodsignering säkerställer att även om kvantdatorer blir verklighet imorgon, förblir firmwareuppdateringar som publiceras idag säkra och verifierbara. PQC-algoritmer som LMS eller ML-KEM hjälper till att framtidssäkra dessa enheter mot kvanthot, samtidigt som förtroendet för enhetens integritet bibehålls.
• Företagsapplikationer: Företagsprogramvara innehåller ofta konfidentiell logik och ansluter till känsliga system. Genom att använda PQC-baserad kodsignering kan organisationer skydda sina interna applikationer från manipulation, även i en postkvantvärld. Det är särskilt viktigt för appar som hanterar identitets-, krypterings- eller efterlevnadskänsliga operationer, där traditionella signaturer så småningom kan bli svaga.
• Programvara för långsiktig support (LTS): Programvara som ska underhållas i ett decennium eller mer, som operativsystemkärnor, inbäddade enhetsstackar eller reglerade finansiella system, måste skyddas på lång sikt. PQC-baserad kodsignering säkerställer att dessa signaturer fortfarande kommer att betraktas som säkra långt in i framtiden, även när kryptografiska standarder utvecklas. Det är ett proaktivt drag för alla leverantörer som erbjuder långsiktig support.

Efterlevnad och regelanpassning med PQC Readiness

Att ligga steget före efterlevnadskraven handlar om mer än att bara kryssa i rutor; det handlar om att vara proaktiv och framtidsinriktad. I takt med att tillsynsorgan och standardiseringsorganisationer som NIST, ETSI och NSA börjar rekommendera eller kräva postkvantkryptografi (PQC), företag som anta PQC tidigt sätter sig själva i en stark position.

Till exempel har NIST redan slutfört sin första omgång av PQC-algoritmval, och regeringar runt om i världen uppmanar myndigheter och leverantörer att börja migrera. Om din kodsigneringsprocess redan stöder algoritmer som LMS, ML-KEM eller Dilithium, kryssar du inte bara i en säkerhetsruta; du anpassar dig till nya efterlevnadsramverk som snart kommer att förväntas inom olika branscher.

Att vara PQC-redo hjälper också vid revisioner. Oavsett om det gäller SOC 2, ISO 27001 eller sektorspecifika ramverk (som fordonsindustrins UNECE WP.29 eller hälso- och sjukvårdens HIPAA), vilket visar att du använder kvantresistent signaturer signalerar framåttänkande riskhantering och långsiktig kryptografisk hygien.

Kort sagt, PQC är inte bara en teknisk uppgradering; det håller snabbt på att bli en förväntad del av efterlevnaden. Att ligga steget före nu undviker striden senare.

Slutsats

Övergången till postkvantkryptografi är inte en avlägsen oro; den sker redan. Oavsett om du signerar firmware, säkrar företagsapplikationer eller levererar långsiktig supportprogramvara, säkerställer PQC att dina digitala signaturer förblir säkra i en postkvantvärld.

CodeSign Secure är byggd med denna framtid i åtanke. Med inbyggt stöd för PQC-algoritmer som LMS och ML-KEM, integration med betrodda HSM:er och sömlös kompatibilitet med dina befintliga CI/CD-pipelines, levererar den en robust, kompatibel och framåtblickande kodsigneringslösning.

Genom att välja vårt CodeSign Secure förbereder du dig inte bara för morgondagens hot; du leder med självförtroende idag.