逗阴馆

セキュリティ 101 05-05-2021

より大きな鍵長を要求するコードサイニング(署名)のBASELINE REQUIREMENT(基本要件)

Dave Roche

SSL/TLS証明書とは異なり、コードサイニング証明书は、将来にわたって安全性を維持する署名を作成できることが必要です。鍵長が短ければ、将来の暗号攻撃に対する耐性が低くなり、署名されたコードに対する信頼性が低下することを意味します。

この課題に対して、規制機関は、署名されたコードの信頼性を維持するために、コードサイニングを長期間にわたって安全に保つための解決策を模索しています。米国国立標準技術研究所(NIST)は、 NIST SP 800-57 で、鍵管理に関する推奨事項を発表しています。NISTは、2030年までに2048ビットのRSA鍵を廃止することを推奨しています。2030年はまだ数年先ですが、現在作成されている証明書や署名の多くは、その時点で引き続き使用されているでしょう。

はこのガイダンスに従い、ポリシーを変更しました。マイクロソフトは、コードサイニングおよびタイムスタンプ用の新しいルートキーに、4096ビットの搁厂础を使用することを义务付けています。さらに、マイクロソフトは2030年以降、2048ビットの搁厂础ルート証明书を信頼しません。

そして新しい CA/B フォーラムの基本要件では、一般に信頼されるコードサイニングおよびタイムスタンプ証明书の最小键要件はになりました。コードサイニングの基本要件の変更は、2021年6月1日に発効しますが、コンプライアンスを維持するために、より早い段階で長いキーの使用を開始します。必要な鍵長が大きくなると、ハードウェアやトークンを购入したり、マネージドサイニングサービスに移行したりする可能性も出てきます。

デジサートが、コードサイニング製品に3072ビットの搁厂础键を採用するのはいつですか?

デジサートは、2021年5月27日以降、コードサイニング証明书の新規発行または更新の際には、。5月27日までに、デジサートアカウントの担当者に移行の相谈をしてください。ただし、5月27日以前に発行された証明书は、有効期限が切れるまで有効です。この日以降、証明书の再発行、更新、新规発行には、最低でも3072ビットの搁厂础を使用する必要があります。

今回の変更に対するデジサートの立场は?

デジサートでは、これはセキュリティにとって前向きな動きであり、今後の業界標準に準拠したものであると考えています。しかし、お客様にとって、変更のための負担が大きいことも理解しています。移行を可能な限り容易にするために、ハードウェアを必要とせずに新しい要件に合わせることができる逗阴馆? Secure Software Managerの活用をお勧めします。Secure Software Managerは、逗阴馆ONE上に構築されているため、コードサイニングの完全な自動化をサポートしており、署名をスクリプト化してJenkinsやAzureなどの開発者用ビルドツールと統合することができます。

Secure Software Managerを使用すると、署名ごとにトークンPINコードを使用するのではなく、EVコードの署名を自動化することができます。Secure Software Managerは、現行のコンプライアンス要件に沿ったワークフローのみをサポートし、鍵の生成と保護をサポートしているため、将来的なポリシーの変更があっても、常にコンプライアンスを維持できることを保証しています。

逗阴馆? Secure Software Manager

Secure Software Managerは、ポータブルで柔軟な展開モデルと安全な鍵管理によって、継続的インテグレーション/継続的デリバリー(CI/CD)パイプライン全体で自動化されたセキュリティを実現し、コードサイニングを管理するサービスアプローチです。Secure Software Managerは、プライベート署名、オンデマンドキー、ローテーションキーの署名ごとのユニークキーや証明書など、コードサイニングのベストプラクティスをサポートしています。Docker、Microsoft、Java、Androidなどの主要なプラットフォームやライブラリに対応しています。Secure Software Managerを使用することで、組織は製品開発プロセスにコードを簡単に統合することができ、同時に暗号操作、署名活動、管理を制御された監査可能な方法で委任することができます。逗阴馆ONEの一部として、Secure Software Manager は、数分以内に大量の証明書を迅速に展開することができ、さらにオンプレミス、国内、クラウドのいずれの環境にも柔軟に対応することができます。

このようなコードサイニング証明书の管理方法の変更に伴い、最新のマネージドサイニングサービスを検討する時期に来ているのかもしれません。詳細については、逗阴馆? Secure Software Managerページを参照してください。

UP NEXT

特集记事

クラウド上で量子コンピュータをいかに保护するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失