Code-Signierung

Für vertrauenswürdige Software

Mittels Code Signing werden Anwendungscode oder Scrips digital signiert. Damit wird die Identität des Softwareherstellers bestätigt und sichergestellt, dass die Software nicht verändert oder korrumpiert wurde.

Aktuelle Systeme lassen die Installation von nicht signierter Software gar nicht zu, oder es erscheint ein Warnhinweis, der Anwender vor der Installation von potenzieller Schadsoftware bewahren soll. Durch die Signatur der Software mit dem Zertifikat eines offiziellen Anbieters wird die Software als vertrauenswürdig und integer gekennzeichnet. Wer seine Software nicht signiert, gilt als unseriös.

Seit dem 1. Februar 2017 sind bei Codesignatur-Zertifikaten für Microsoft Plattformen die Richtlinien der Certificate Authority Security Council Gruppe (CASC) zwingend einzuhalten. Gemäss diesen "Minimum Requirements for Code Signing Certificates" müssen die privaten Schlüssel durch ein FIPS 140-2 Level 2 oder höher zertifiziertes HSM generiert und geschützt werden. Entweder durch entsprechende Hardware vor Ort oder durch einen cloudbasierten HSM-Service.  Im Gegensatz zu den dazu üblicherweise verwendeten USB Crypto Token, welche über USB an einem System angeschlossen werden, bindet sich Clouds HSM durchgängig übers Netzwerk in die Entwicklungsumgebung ein und erhöht so den Automatisierungsgrad im Code-Signatur-Ablauf. Damit die Software als vertrauenswürdig anerkannt wird, muss diese mit einem Extended Validation Zertifikat (EV Certificate) einer öffentlich anerkannten Certification Authority (CA) signiert werden. Für die Signatur von Hardware-Treibern oder Apple-Apps sind weitere Zertifikatsanforderungen zu beachten.

Clouds HSM erzeugt und speichert die Schlüssel und Codesignatur-Zertifikate sicher und konform zu den CASC Richtlinien. Das gilt für JAVA-Code, Programme unter Microsoft/Unix/Mac/Mobile oder Office Macros.

Kontaktieren Sie uns

 

codesigning-clouds-hsm-fingerprint_0.jpg