逗阴馆

コードサイニング 06-01-2023

逗阴馆? CertCentral の新しい KeyLocker の発表

Eddie Glenn
Keylocker Blog Image

CA/B フォーラムのコードサイニング秘密键に関する変更に準拠するための、アクセスが容易で便利かつ安価な方法。

すべてのコードサイニング秘密键を FIPS 140-2 準拠のハードウェアに保管することを求める(2023年6 月 1 日から施行) CA/ブラウザ(颁础/叠)フォーラムの新しい要件を満たせるよう公司が取り组んでいく中、デジサートは、これらのコンプライアンス要件に対応する?逗阴馆 KeyLocker?という新机能を発表しました。

この业界要件の施行に「ようやく感」がある理由

ソフトウェア開発者がコードサイニング秘密键を安全でない場所に保管したために発生したインシデントは、ここ数十年で枚挙にいとまがありません。有名なのは、台湾のコンピュータメーカー、??社の事例です。当社では、コードサイニング秘密键を Web サーバー上に保存していました。ハッカーはこの Web サーバーに侵入し、コードサイニングクレデンシャルを見つけた後、正式な Asus ドライバアップデートにマルウェアを追加しました。ハッカーがそれらを署名すると、数時間後には感染したアップデートがそのことを知らない何千人もの顧客にばらまかれてしまいました。

被害の事例は Asus 社にとどまりません。Nvidia 社と GitHub の事例も有名です。最近では、がありました。また、ダークウェブには、盗まれたコードサイニングクレデンシャル付きのマルウェアキットが贩売されており、容易に入手できます。

安全でない场所に保管してしまう理由

開発者は習慣と利便性を重視します。開発者はまた、新しい製品機能をより迅速に開発するよう市場の圧力にさらされています。そして、DevOps、継続的インテグレーションおよび継続的デプロイ(CI/CD)、クラウドネイティブインフラストラクチャなどのプロセスやツールを活用しており、これらは自動化に強く依存しています。さらに、開発者が主眼に置くのはセキュリティではありません。これらの要因が相まって、しばしば簡易的な処置がなされます。つまり、コードサイニング秘密键が、便利であるが安全でない場所に保管されてしまいます。

その結果、これらの鍵がアプリケーションの構築に使われる(オンプレミスまたはクラウド上の)サーバーに保管されてしまう可能性があります。または、ノート PC 上に保管される場合があります。あるいは、Asus 社の事例のように、顧客に最終アップデートをプッシュするために使われる Web サーバー上である場合もあります。

これらの侵害タイプに対応するための?CA/B フォーラムの新しい要件

CA/B フォーラムのコードサイニングワーキンググループは、コードサイニングに使用される秘密键に関する要件を強化することを投票して承認しました。1 年間を通じて、コードサイニングワーキンググループの参加者は、「CSC-13:加入者鍵保護要件のアップデート」の詳細を議論してきました。これは、セキュリティのハードルを上げながらも、新しい要件がもたらす負担を見極めるためです。これらの変更は現在有効です。

新しい要件に準拠する方法

大きな企業であるならば、すでにハードウェアセキュリティモジュール(HSM)を使用して秘密键を安全に保管したり、逗阴馆? Software Trust Manager?などの安全なコードサイニングソリューションを使用したりしていることでしょう。逗阴馆 Software Trust Manager は FIPS 140-2 に準拠した方法で鍵を安全に保護するだけでなく、企業がアクセスポリシーを確立できるようにします。これにより、DevOps などの高度に自動化されたプロセスにおいても鍵の使用に関してさらなる保護を提供します。

物理的なハードウェアトークン(デジサートが販売するものなど)もオプションとして採用できます。しかし、ハードウェアトークンを使用する欠点として、DevOps などの完全に自動化されたビルドおよびサイニングプロセスでは使用が困難であることが挙げられます。

この新しい CA/B 要件は、オンプレミス HSM を持たない、あるいは?逗阴馆 Software Trust Manager?などの安全なエンタープライズコードサイニングソリューションを使わない小規模なソフトウェア開発チームにとって手ごわい課題となるかもしれません。こうした顧客を念頭に置いて、逗阴馆 KeyLocker の提供を開始しました。これは、逗阴馆 CertCentral からコードサイニング証明书を购入した顧客に提供されるオプションです。

HSM や安全なコードサイニングソリューションを持っていない方でも、逗阴馆 CertCentral からコードサイニング証明书を购入すれば、CA/B フォーラムの新しい要件に準拠したオプションを持つことになります。このソリューションは 逗阴馆 KeyLocker と呼ばれるものです。

逗阴馆 KeyLocker

逗阴馆 KeyLocker は、OV (Organization Validated、企業認証)および EV (Extended Validation、EV 認証)コードサイニング秘密键の強力な鍵保護を、CA/B フォーラムの要件を満たしたクラウド提供サービスで実現します。KeyLocker は物理的なトークンが課す制約なしで、安全な鍵保管、鍵生成、および署名を可能にします。

ハードウェアトークンとは異なり、KeyLocker は配送不要です。また、物理デバイスの注文と配送に付随する遅れや不便を経験する必要がありません。トークンのように、紛失または盗難にあうリスクはありません。署名はいつでもどこでも行え、自動化された CI/CD パイプラインに簡単に統合できます。

KeyLocker はコードサイニング証明书と一緒に?逗阴馆 CertCentral?で购入できます。強力な鍵保護を備えたクラウド提供サイニングの取得、設定、使用は簡単です。KeyLocker は、CA/B フォーラムのコードサイニング鍵の要件に準拠するためのシームレスな方法を IT 管理者と開発者に提供します。

大規模で分散されたソフトウェアチームを擁する企業や、ミッション/セーフティ/ビジネスクリティカルソフトウェアを開発する企業にとって、KeyLocker?などが提供する安全な秘密键ストレージは、ソフトウェアサプライチェーンセキュリティを実現するための一歩となりますが、それだけではコードサイニングのあらゆる推奨セキュリティ措置をサポートするには至りません。たとえば、コード署名ポリシーの施行、一元化されたエンタープライズ管理、鍵へのロールベースのアクセス、鍵のローテーション、きめ細かなセキュリティおよびアクセス制御、およびコード署名活動の検証可能な記録は?逗阴馆 Software Trust Manager?で提供されています。

逗阴馆 KeyLocker の詳細については、データシートをダウンロードしてください。

UP NEXT
DNS Trust Manager

ドメインレジストラか DNS ホスティングか: その違いを説明

5 Min