曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        從11月15日開始對OV代碼簽名證書和密鑰進行更改
        發布時間:2022-10-24 07:35:52   閱讀次數:

        image.png

        OV代碼簽名證書和密鑰生成方法正在大修。它們將以類似于當前頒發EV代碼簽名證書的過程在物理安全硬件上頒發。探索此更改對您的組織意味著什么


        今年早些時候,NVIDIA 經歷了當壞人獲得您組織中一些最敏感的數字資產時會發生什么:代碼簽名證書。網絡犯罪分子使用這些被盜的證書來簽署他們的惡意軟件。目的?為了讓它看起來惡意軟件程序合法地來自圖形處理器公司。


        防止此類攻擊是CA/B論壇投票決定對代碼簽名證書的頒發和安裝過程進行一些更改的原因。但這些變化對您的業務和代碼簽名操作意味著什么?


        您需要知道的(OV代碼簽名證書更改概述)

        我們不會深入研究所有細節,因為它們仍在由證書頒發機構(CA) 進行散列處理。我們在這里的目的是讓您快速了解未來幾個月的預期。我們將在幾個月后發布另一篇博客文章,一旦我們從CA了解更多細節,我們將更多地討論這些細節。


        變更推出后會發生什么

        從 11 月 15 日開始,新的和重新頒發的公眾信任組織驗證 (OV) 和個人驗證 (IV)代碼簽名證書將必須由頒發證書頒發機構 (CA) 頒發或存儲在預配置的安全硬件上。特別是,這包括符合FIPS140-2 2 級、通用標準 EAL 4+(或同等標準)的設備或簽名解決方案(至少),例如:

        • 硬件安全模塊 (HSM),云或物理設備
        • 物理安全令牌,例如USB硬件設備
        • 密鑰存儲和簽名服務


        注意:FIPS 代表聯邦信息處理標準 (FIPS)。稍后我們將詳細討論符合FIPS的設備。


        實際上,這意味著所有代碼簽名證書都將以類似于今天的EV代碼簽名證書的方式交付——通過USB設備交付給客戶,交付給客戶的硬件安全模塊 (HSM) 等。(一旦各個CA宣布它們,我們將分享所有這些將如何工作的具體細節。)


        但關鍵的一點是,您將不再需要自己完成證書簽名請求 (CSR),因為所有這些技術內容都將在CA端處理。


        為什么會發生這些變化

        CA/瀏覽器論壇 (CA/B Forum)代碼簽名的發布和管理的基線要求 (BR)(版本 2.8)中概述了這些更改。它是通過Ballot CSC-13 — 更新訂戶密鑰保護要求更新的,它適用于基線要求的先前版本(v. 2.7)。這里的想法是使證書的私鑰與擴展驗證 (EV) 代碼簽名證書一樣安全。


        要做到這一點,這意味著需要安全地存儲密鑰,以防止它們落入壞人(和其他未經授權的用戶)之手。根據代碼簽名證書 BR(版本 2.8)的第 16.3.1 節訂戶私鑰保護:

        “CA必須從訂戶那里獲得一份合同聲明,即訂戶將使用以下選項之一在硬件加密模塊中生成和保護其代碼簽名證書私鑰,該模塊的單元設計外形經認證至少符合FIPS140 -2 2 級或通用標準 EAL 4+”


        什么時候正式改變

        更改將發生在 2022 年 11 月 15 日星期二上午 12 點協調世界時 (UTC) — 即2022 年 11 月 14 日星期一下午 7 點美國東部標準時間 (EST) 為我們的讀者。但是,需要注意的是,一些證書頒發機構(例如 DigiCert、Sectigo 等)可能會選擇提前實施更改,以確保在CA/B論壇的官方截止日期之前有時間解決任何問題!


        同樣,一旦CA完成他們的計劃,我們將分享更多細節。


        誰將受到這些變化的影響

        這項全行業的強制要求將影響在 11 月推出時或之后購買新OV代碼簽名證書的任何人。(這也可能影響當前的OV代碼簽名證書持有者,他們也重新頒發或更新其現有證書。)如果您是擁有 IV 代碼簽名證書的個人開發人員,那該怎么辦?是的,這種變化也會對您產生影響。


        但是,重要的是要注意,如果您在正式更改之前擁有現有的有效代碼簽名證書,則此更改不會以同樣的方式影響您。當然,CA將不得不建議您以相同的方法之一存儲您的密鑰。但是您仍然可以像往常一樣繼續簽署您的軟件和其他可執行文件。


        11 月之前的現有證書持有者必須向他們的CA確認他們將使用安全方法(可信平臺模塊、硬件加密模塊或硬件安全令牌)來生成和保護他們的密鑰。在 11 月推出之后,證書持有者必須確認他們將使用以下方法之一來安全地存儲他們的密鑰:

        • HSM 或硬件安全令牌
        • 基于云的密鑰生成和保護解決方案
        • 滿足CA/B論壇的基線要求第 16.2 節中概述的要求的簽名服務


        為什么保護您的代碼簽名證書和密鑰很重要

        代碼簽名是您或您的組織為您的代碼、軟件或其他可執行文件聲明組織的數字身份的一種方式。這是看到“Your Company, Inc.”的區別。在 Windows 用戶帳戶控制彈出字段與“發布者:未知”警告消息。沒有人希望后者在他們嘗試下載或安裝您的軟件時顯示。


        并排比較屏幕截圖,顯示用戶嘗試安裝未簽名(左)和數字簽名(右)軟件程序時的外觀。左邊的消息顯示發布者未知,而右邊的數字簽名證書消息顯示經過驗證的發布者是 Microsoft 公司。


        如果您希望人們相信您的軟件是真實的并且壞人沒有弄亂它,那么顯示那些丑陋的警告并不是一個好看的外觀。不使用它就像在您的公司名稱和徽標旁邊放置一個閃爍的霓虹燈,上面寫著“我不值得信賴”。對您的軟件進行數字簽名會將您組織的身份融入您的軟件和代碼中,這樣用戶就知道它是真實的,并且自簽名后就沒有受到損害。


        檢查數字簽名的可執行文件時的外觀示例。


        如果不安全地存儲您的密鑰,您的證書可能會變得不受信任,并且如果壞人使用它以您的名義簽署和分發惡意軟件,您的組織就會承擔責任。


        11 月 15 日之后如何訂購代碼簽名證書?

        這是一個很好的問題——老實說,我們正在等待自己的最終細節。每個CA都有自己的OV代碼簽名證書流程。這些更改將如何發揮作用以及它們對您意味著什么,將取決于每個單獨的CA。對于大多數客戶來說,每個CA都將提供一個簡化的訂購流程,這可能看起來很像當前的EV代碼簽名證書流程。


        我們所知道的是,這些更改可能需要使用硬件安全令牌,該令牌要么由您的CA頒發,要么您已經擁有,至少滿足FIPS 140 級別 2、通用標準 EAL 4+合規性要求。一旦我們知道更多,你也會。因此,隨著我們接近截止日期,請繼續關注未來的后續文章。 


        對于高級用戶,您可以通過三個選項來配置您的證書和密鑰:


        1.USB令牌

        硬件安全令牌通常是分配給組織內個人用戶的小型且方便的設備。您可以自己購買這些,或者讓證書頒發機構運送您已經安裝的代碼簽名證書。例如,DigiCert 目前需要使用特定的安全硬件令牌來存儲EV代碼簽名證書的私鑰:SafeNet eToken 5110 CC(RSA 4096 位密鑰和 ECC P-256 位密鑰)。該特定設備超出了CA/B論壇列出的最低要求——它支持FIPS140-2 Level 3、CC EAL5+。


        您可以使用的另一個可選令牌是 SafeNet eToken 5110+ FIPS,這是Thales今年夏天可能發布的一種新令牌。


        當然,每個CA都可以選擇他們將使用的令牌。大多數客戶會發現使用CA提供的USB令牌是最簡單、最簡單的選擇。因此,隨著我們接近推出截止日期,我們將在未來進行更多的研究。


        2. 硬件安全模塊

        如果您決定使用硬件安全模塊(HSM/加密機)路線來存儲您的私鑰,那么您需要證明您使用的設備符合要求。例如,您可能必須提供顯示設備的證明信:

        • 是否至少符合FIPS140 2 級或通用標準 EAL4+ (CCE 4+)
        • 支持 256 位或更大或 RSA 3072 位或更大的 ECC 密鑰大小。


        使用任何一種物理安全設備方法,您都需要將系統連接到組織的硬件安全模塊 (HSM) 或將物理安全令牌插入設備,然后才能使用證書對代碼進行簽名。這允許您訪問您的私鑰以進行簽名,該私鑰安全地存儲在設備上。您還必須輸入您的唯一密碼以及額外的安全層。


        攬閣信息銷售的Thales Luna HSMProtectServer HSM,均符合您對于安全合規的要求。


        但是還有第三種選擇,不需要您管理和保護任何物理設備或硬件令牌……


        3. 代碼簽名服務和應用程序

        您可以選擇使用的另一個安全密鑰存儲選項是簽名解決方案,例如DigiCert 的安全軟件管理器 (SSM),它是 DigiCert ONE 平臺的一部分。該軟件使授權用戶能夠安全地存儲和使用私鑰,而無需對其進行物理訪問。這意味著您的員工可以開展他們的業務,而不必擔心管理一堆可能損壞、丟失或被盜的個人物理安全令牌。


        最后

        在攬閣信息,您可以輕松找到適合您的USB Token和HSM產品,并獲取這些產品對應的解決方案,現在就來聯系我們吧。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精