Come funziona la firma del codice
La firma del codice è diventata essenziale per portare avanti qualunque tipo di attività che distribuisce codice a clienti e partner.
La firma del codice verifica l’identità del produttore di uno specifico codice e garantisce che quest’ultimo non sia stato modificato successivamente alla firma.
I certificati consegnati con un software firmato aiutano gli utenti a determinare l’affidabilità della fonte prima dell’installazione.
Oggi, molti marketplace di software, tra cui gli app store, richiedono che il codice sia conforme a requisiti specifici in materia di firma digitale.
A prescindere dal caso d’uso, occorre utilizzare sistemi di sicurezza delle chiavi private per garantire l’affidabilità e il valore dei certificati di firma del codice.
Risorse per la firma del codice:
Banca degli ovuli - ViewPIN+- caso di studio
La principale banca online al mondo emette PIN online in maniera sicura per risparmiare denaro, ridurre le frodi e migliorare l’esperienza dei clienti grazie alla gestione dei PIN basata sul WEB e il premiato servizio ViewPIN di SafeNet...
Architetture di firma del codice
Le architetture di firma del codice sono compromesse a causa di svariati aspetti, tra cui:
- Viene utilizzata la tecnologia PKI (Public Key Infrastructure) per creare una firma digitale.
- La firma digitale si basa su una chiave privata e sui contenuti di un file di programma.
- Durante la distribuzione del suo codice, lo sviluppatore impacchetta la firma con il file o in un file catalogo associato.
- Al ricevimento del codice firmato, gli utenti o i dispositivi combinano il file, il certificato e la chiave pubblica associata per verificare l’identità del firmatario e l’integrità del file.
In un ambiente di firma del codice esiste una vulnerabilità fondamentale: le chiavi private.
Protezione delle chiavi private per la firma del codice
Chiunque abbia accesso alla chiave privata del proprietario di un certificato legittimo può creare software che sembri essere stato firmato dall’azienda in questione.
Svariate violazioni hanno utilizzato certificati fraudolenti di firma del codice per danneggiare la reputazione e le operazioni commerciali del proprietario del certificato.
Per proteggere in maniera efficace le chiavi private utilizzate nella firma del codice, le aziende devono utilizzare Hardware Security Module (HSMs). Le chiavi archiviate su server o altri sistemi sono troppo vulnerabili ad accessi non autorizzati e violazioni. Archiviare le chiavi in HSM robusti e a prova di manomissione può eliminare questi rischi.
Gli HSM di Thales offrono:
- Generazione e archiviazione sicura delle chiavi
- Elevata disponibilità e affidabilità
- Prestazioni e scalabilità
- Supporto per ECC (Elliptic Curve Cryptography)
- Controlli solidi degli accessi amministrativi
- Gestione e conformità
I nostri partner: Firma del codice Microsoft Authenticode
Microsoft Authenticode permette agli utenti finali di identificare chi ha pubblicato una componente di software e verificare che non ci siano state manomissioni prima di scaricarlo da Internet.
Authenticode si affida a tecniche crittografiche comprovate e all’utilizzo di una o più chiavi private per firmare e inserire la marcatura temporale sul software pubblicato. Mantenere la riservatezza di queste chiavi è fondamentale.
Gli HSM (Hardware Security Module) di Thales si integrano con Microsoft Authenticode per fornire un sistema affidabile volto a proteggere le credenziali aziendali del produttore del software. Gli HSM di Thales proteggono la chiave di firma del codice all’interno di un HSM con certificato FIPS 140-2 livello 3.