Contact Us
Header-Banner

Code-Signing-Zertifikate und Schutz von Keys

Zertifizierungssymbol

Code-Signing ist ein wesentlicher Bestandteil für praktisch alle Unternehmen, die Code an Kunden und Partner verteilen. Mit der Codesignatur wird verifiziert, wer der Herausgeber eines bestimmten Codesets ist, und attestiert, dass der Code seit der Signatur nicht modifiziert wurde. Zertifikate, die zusammen mit Software geliefert werden, die signiert wurden, sind eine wichtige Möglichkeit für Benutzer, um vor der Installation festzustellen, ob die Software von einer legitimen Quelle stammt.

Heute erfordern viele Softwaremärkte, einschließlich Mobile-App-Stores, dass Codes mit spezifischen Anforderungen für das digitale Signieren kompatibel sind. Wenn der Code diese Anforderungen nicht erfüllt, müssen Benutzer vor dem Installieren einen Hinweis wie 'unbekannter Herausgeber' oder eine andere Meldung bestätigen. Wenn Kunden diese Meldungen erhalten, kann dies für Entwickler von legitimer Software zu signifikanten Problemen führen.

Codesignaturen werden zudem häufig von Geräteherstellern verwendet, die die Firmware und Software von Geräten vor Ort aktualisieren müssen.

Architektur und Schwachstellen von Code-Signing

Architekturen von Codesignaturen bestehen aus mehreren wichtigen Aspekten, einschließlich:

  • Zum Erstellen einer digitalen Signatur wird die Public Key Infrastructure (PKI)-Technologie verwendet.

  • Die digitale Signatur basiert auf einem privaten Key und dem Inhalt einer Programmdatei.

  • Bei der Verteilung des Codes verpackt der Entwickler die Signatur mit der Datei oder in einer verknüpften Katalogdatei.

  • Bei Erhalt des signierten Codes kombinieren Benutzer oder Geräte die Datei, das Zertifikat und den verknüpften öffentlichen Key, um die Identität des Dateisignierers und die Integrität der Datei zu verifizieren.

Lila Symbol für kryptografischen Key

In Code-Signing--Umgebungen gibt es eine kritische Schwachstelle: private Keys. Jeder, der auf den privaten Key eines Eigentümers eines legitimen Zertifikats zugreifen kann, kann Software erstellen, die scheinbar von diesem Unternehmen signiert ist. Bei zahlreichen Datenschutzverletzungen wurden betrügerische Codesignatur-Zertifikate verwendet, was zu signifikanten Schäden für den Ruf und das Geschäft des Zertifikateigentümers geführt hat.

Um private Keys, die für Codesignaturen verwendet werden, effektiv zu sichern, ist es für Unternehmen unerlässlich, Hardware-Sicherheitsmodule (HSMs) zu verwenden. Auf Servern oder anderen Systemen gespeicherte Keys sind für unberechtigtem Zugriff und Gefährdung zu anfällig. Dies kann durch das Speichern der Keys auf robusten, manipulationssicheren HSMs eliminiert werden.

SafeNets HSMs adressieren mehrere kritische Anforderungen für sichere Codesignaturen:

  • Sichere Key-Generierung und Speicherung

  • Hohe Verfügbarkeit und Zuverlässigkeit

  • Leistung und Skalierbarkeit

  • Unterstützung für Elliptische-Kurven-Kryptografie (Elliptic Curve Cryptography, ECC)

  • Robuste administrative Zugriffssteuerungen

  • Governance und Compliance

HSM-Produktdetails anzeigen Weitere Informationen zu Codesignaturen anfordern
CTA HSM Critical Risk Mgmt WP
Breach Level Index Site