Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista

Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena ja salausavainten pituuden kasvattamisena sekä varmenteiden eliniän lyhentämisenä. Myös Code Signing varmenteiden säännöt tiukentuivat helmikuusta 2017 alkaen.

Haaste: koodin allekirjoittaminen tietoturvallisesti ja keskitetysti nykypäivän vaativissa ohjelmistokehitysympäristöissä

Merkittävimmät muutokset tulivat Code Signing varmenteiden yksityisen avaimen (private key) säilyttämiseen ja suojaamiseen. Lyhyesti sanottuna, Code Signing varmenteen avainta ei saa säilyttää palvelimen tai työaseman varmennesäilössä/levyllä, vaan FIPS 140-2 level 2 -vaatimukset täyttävällä alustalla/laitteella, kuten

  • Hardware Security Module (HSM)
  • ”Key Vault” -ratkaisu pilvestä (Azure Key Vault, Amazon Web Services Cloud HSM jne.)
  • Trusted Platform Module (TPM)
  • (Non-HSM) USB drive* (huomioi, että ulkoinen levy pitää säilyttää kassakaapissa tai vastaavassa ja saa olla kiinni allekirjoittavassa laittessa vain allekirjoittamisen ajan)

Tarkemmin aiheesta Entrustin minimivaatimusten tiivistelmässä sekä CA/Browser Forumin Baseline Requirements -dokumentissa.

Entrust, kuten monet muutkin CA:t, toimittavat Code Signing -varmenteidensa mukana vaatimukset täyttävän USB Tokenin. Se toimii tietoturvallisena laitteena avainten säilytykseen, mutta ei ole välttämättä nykypäivän ohjelmistokehityksen (DevOps, CI/CD) toiminnassa käytännöllinen.

Ratkaisu: allekirjoittaminen ja avainten hallinta keskitetysti pilvestä!

Yritykset ja organisaatiot voivat tallentaa ja hallita avaimiaan tietoturvallisesti pilvessä ja allekirjoittaa keskitetysti koodia sieltä. Pilviratkaisut tuovat vaaditun tietoturvatason ja lisäävät päälle käytettävyyden sekä mahdollisesti muita pääsynhallintaan ja auditointiin liittyviä elementtejä.

Wesentra on auttanut asiakkaitaan ottamaan käyttöön Azure Key Vaultin koodin allekirjoittamisen keskitettynä ratkaisuna. Alla yksinkertaistettu kaaviokuva tapauksesta, jossa allekirjoitetaan Authenticodea virtualisoidulla windows serverillä AzureSigntoolin avulla Azure Key Vaultista.

Jos yrityksellänne on haasteita tai tarpeita koodin allekirjoittamisen kanssa, niin ota yhteyttä meihin. Mietitään yhdessä teille sopivaa ratkaisu! myynti@wesentra.com, 010 338 2170

Vastaa