Thales background banner

Soluções de code signing para segurança de chaves

Como o Code Signing funciona

code-signing-icon

O code signing surgiu como um fator essencial para fazer negócios para praticamente qualquer empresa que distribui códigos a clientes e parceiros.

O code signing verifica quem emite de um conjunto específico de códigos e atesta o fato de que ele não foi modificado desde que foi assinado.

Os certificados que vêm junto com o software que foi assinado são uma maneira fundamental para os usuários determinarem se o software se origina de uma fonte legítima antes de instalá-lo.

Atualmente, muitos mercados de software, incluindo lojas de aplicativos móveis, exigem que o código esteja de acordo com os requisitos específicos de assinatura digital. 

Não importa o caso de uso, as chaves de segurança devem ser protegidas para que os certificados de code signing sejam confiáveis e valorizados.

Recursos do Code Signing:

estudo de caso

Egg Bank - ViewPIN+ - Estudo de caso

O maior banco online do mundo emite com segurança PINs online para economizar dinheiro, reduzir fraudes e melhorar a experiência do cliente com o premiado gerenciamento de PINs baseado na web SafeNet ViewPIN+...

Arquiteturas de code signing

code signing

As arquiteturas de code signing são compostas de várias facetas fundamentais como:

  • Tecnologia de infraestrutura de chaves públicas (PKI) para criar assinaturas digitais.
  • A assinatura digital é baseada em uma chave privada e conteúdos de um arquivo de programa.
  • Ao distribuir seu código, o desenvolvedor integra a assinatura ao arquivo ou em um arquivo de catálogo associado.
  • Ao receber o código assinado, usuários ou dispositivos combinarão arquivo, certificado e chave pública associada para verificar a identidade do assinante do arquivo e a integridade do arquivo.

Em ambientes de code signing, existe uma vulnerabilidade crítica: as chaves privadas.

Chave privada de segurança para code signing

chave

Qualquer pessoa que possa acessar uma chave privada legítima de uma empresa proprietária de um certificado pode criar um software que parecerá ser assinado pela empresa.

Numerosas violações usaram certificados de code signing fraudulentos para causar danos significativos à reputação e aos negócios do proprietário do certificado.

Para proteger com eficácia as chaves privadas usadas em code signing é vital que as empresas utilizem módulos de segurança de hardware (HSMs). As chaves armazenadas em servidores ou outros sistemas são muito suscetíveis ao acesso não autorizado e podem ficar comprometidas. Armazenar chaves em HSMs fortes e invioláveis pode eliminar estes riscos.

Os HSMs da Thales oferecem:

  • Geração e armazenamento seguro de chaves
  • Alta disponibilidade e confiabilidade
  • Desempenho e escalabilidade
  • Suporte para criptografia de curva elíptica (ECC)
  • Fortes controles de acesso administrativo
  • Governança e conformidade

Saiba mais sobre os HSMs da Thales

Destaque do parceiro: Microsoft Authenticode Code Signing

Microsoft

O Microsoft Authenticode permite a usuários finais identificar quem publicou um componente de software e verificar que ninguém o adulterou antes de baixá-lo da internet.

O Authenticode se baseia em técnicas criptográficas comprovadas e no uso de uma ou mais chaves privadas para assinar e registrar data e hora do software publicado. É importante manter a confidencialidade destas chaves.

O módulo de segurança (HSM) da Thales é integrado ao Microsoft Authenticode para fornecer um sistema confiável de proteção de credenciais empresariais do emissor do software. Os HSMs da Thales protegem a chave de code signing com um HSM validado pelo padrão da indústria FIPS 140-2 de nível 3.

Saiba mais sobre o Authenticode Code Signing

Conheça nossos parceiros de tecnologias