受软件保护的密钥：攻击者的目标

代码签名证书是软件应用程序开发人员“签名”代码以声明其来源的一种行之有效的方法。近年来，发生了几起备受瞩目的事件，攻击者窃取了合法组织用来签署其应用程序的私钥。然后，这些被盗的密钥被用来对恶意软件进行签名，以使恶意代码看起来是由受害者组织签名和分发的，从而给签名的恶意代码带来虚假的合法性。这些备受瞩目的事件有一个共同的主题：基于软件的对用于签署应用程序代码的私钥的保护对生态系统来说是一种风险，因为与其他更强大的保护形式相比，攻击者可以相对容易地窃取和滥用这些密钥。

保护代码签名生态系统的密钥

认识到基于软件的密钥保护带来的风险，CA/浏览器论坛的代码签名工作组最近通过了一项投票，以加强对用于代码签名的私钥的要求。在一年的时间里，代码签名工作组的参与者讨论了 CSC-13 的细节：更新订阅者密钥保护要求以有意义地提高安全标准，同时仔细权衡新要求可能带来的负担。

EV级Key保护，无处不在

多年来，EV 代码签名证书对私钥的要求一直高于 OV 代码签名证书。虽然用于 EV 代码签名证书的密钥必须在硬件安全模块 (HSM) 或签名服务（例如 DigiCert® Software Trust Manager，它使用 HSM 来保护用户密钥）中受到保护，但用于 OV 代码签名证书的密钥的保护要求更放松。例如，允许基于软件的密钥保护解决方案。虽然此类保护解决方案对用户而言实施起来可能方便且简单，但攻击者更容易破坏存储密钥的系统并以证书主体的名义欺诈性地签署恶意代码。为了减轻这种风险，自 2023 年 6 月 1 日起，OV 代码签名证书的密钥保护要求已统一为与 EV 代码签名证书相同。有关详细信息，请参阅 https://lists.cabforum.org/pipermail/cscwg-public/2022-September/000891.html。

这些变化对您有何影响

需要注意的是，6 月 1 日生效的 OV 代码签名证书新要求将适用于代码签名证书的续订和补发。换句话说，当前存储在基于软件的保护解决方案中的密钥不能用于 6 月 1 日或之后颁发的任何新证书。证书申请者需要根据改进后的要求生成新密钥并将该密钥用于他们的新代码签名证书。 OV 代码签名证书的持有者可以在 6 月 1 日之后继续使用他们现有的证书，即使私钥不符合新要求。但是，如上所述，需要生成一个新密钥以满足他们未来请求的任何证书的新要求。请留意即将发布的有关我们推出这些更改的计划以及您可能需要采取的任何准备行动的通讯。

展望未来

作为围绕 CSC-13 的讨论的一部分，工作组参与者认识到软件签名服务为生态系统提供的安全价值，但也指出代码签名基线要求中涵盖软件签名服务的几个方面应该得到改进。工作组正在进行讨论，以进一步加强这些要求并推动生态系统安全向前发展。这些讨论仍处于初步阶段，但我们会随时通知您任何进展情况。

DigiCert 软件信任管理器

DigiCert软件信任管理器是一种管理代码签名的服务方法，通过便携式、灵活的部署模型和安全的密钥管理，实现连续集成/连续交付（CI/CD）管道的自动化安全。DigiCert软件信任管理器支持代码签名最佳实践，如专用签名的唯一密钥和每次签名的证书、按需密钥和轮换密钥。它与Docker、Microsoft、Java、Android等主要平台和库兼容。使用DigiCert软件信任管理器，企业可以轻松地将代码集成到产品开发过程中，同时以可控、可审计的方式委托加密操作、签名活动和管理。作为DigiCert ONE®的一部分，DigiCert Software Trust Manager可在几分钟内快速部署大量证书，并具有在本地、国家或云中部署的灵活性。

DigiCert软件信任管理器本质上只支持符合当前合规要求的工作流程，它支持密钥生成和保护，因此无论未来的政策变化如何，您都可以放心，它始终是投诉的对象。随着代码签名证书管理的这些变化，可能是时候考虑现代托管签名服务了。有关更多信息，请参阅DigiCert软件信任管理器页面。

本文由 聚力诚信 根据 Digicert 博客

IMPROVED REQUIREMENTS FOR CODE SIGNING KEY PROTECTION

编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。