Alkalmazások gyors és biztonságos aláírása a felhőben
2022. jún. 23. | Pataki Tamás
A Secure Software Manager a DigiCert ONE platform része, amely egy teljeskörű és modern megoldást kínál a PKI kezeléshez. Lehetővé teszi a szoftverek felhőalapú aláírását, és az automatizált aláírást a fejlesztéséhez és a CI/CD-hez kapcsolja. Végre aláírhat bárhol, bármikor, automatikusan és anélkül, hogy a tanúsítvány és a privátkulcs a kezében lenne!
Ismerkedjen meg a Secure Software Managerrel
Elege van a tokenes Code Signing aláírogatásból, a token kölcsönözgetéséből és folyamatos jelszó megadásból? Aggódik az esetleges eltulajdonítástól és a Code Signing tanúsítvánnyal való visszaéléstől? Ezen aggályoknak vet véget a Secure Software Manager, amely megoldást kínál ezen tipikus problémákra.
A Secure Software Manager a DigiCert ONE platform része, amely egy teljeskörű és modern megoldást kínál a PKI kezeléshez. Lehetővé teszi a szoftverek felhőalapú aláírását, és az automatizált aláírást a fejlesztéséhez és a CI/CD-hez kapcsolja. Végre aláírhat bárhol, bármikor, automatikusan és anélkül, hogy a tanúsítvány és a privátkulcs a kezében lenne!
A Secure Software Managerrel való aláírás előnyei
A Secure Software Managerrel történő aláírás legfőbb előnye, hogy a kulcsok (privátkulcs és tanúsítvány) a DigiCert felhőben találhatók. Ezért nem lehet kétséges a kulcsok biztonsága, a privát kulcs onnan soha sem kerülhet ki.
Egy másik nagy előnye, hogy a Code Signing EV tanúsítványt szabadon és token nélkül használhatja. Ennek oka, hogy a token megakadályozza az automatizálást (minden egyes aláíráskor jelszót kell megadni), valamint kellemetlenné teszi a kölcsönözgetést ha a cégen belül többen is használják azt. Mostantól a Code Signing EV tanúsítványa és privátkulcsa a felhőben van, és meghatározhatja, hogy a tanúsítvány mikor használható. Vannak más biztonsági funkciók is, mint például a felhasználók kezelése vagy a "kiadás" ütemezése.
A Secure Software Manager lehetővé teszi a kulcsok és az azokhoz való engedélyek egyértelmű kezelését. A kulcs- és tanúsítványprofilokat a használni kívánt kulcshosszok és algoritmusok alapján állíthatja be. Emellett ütemezhet egy kiadást, és letilthatja az egyes kulcsok használatát, amint az megtörtént, vagy automatikus kulcsrotációtforgatást állíthat be a nagyobb biztonság érdekében.
Hogyan kell aláírni a cloudon segítségével?
A Secure Software Manager hash-aláírást (hash-signing) használ, amely a fájl ujjlenyomatának (és nem magának a fájlnak) az aláírásán alapul, és nem igényel tanúsítványt privátkulcssal. Így ugyanúgy aláírhat vele mint korábban. A tanúsítványok megőrzésének biztonsága azonban jelentősen megnő, és a tanúsítványokkal való visszaélés lehetősége minimálisra csökken. Bővebben a hash-aláírásról itt olvashat: Hash Signing with DigiCert Secure Software Manager.
Ennél az aláírási módszernél sem az aláírt adatok, sem a tanúsítványt tartalmazó privátkulcs nem terjed, küldődik az interneten keresztül. Csak az aláírt fájl hash-ja (ujjlenyomata) van továbbítva, amelyet a Secure Software Managerben tárolt privátkulccsal írtak alá. Nagyméretű fájlok esetében előnye, hogy nem kell feltölteni őket sehova; a fájl több gigabájt hosszúságú is lehet, de ez a hash (ujjlenyomat) számítás sebességétől függ, ami általában másodpercek alatt történik. A kiszámítás után az aláírás minden fájl esetében egyforma gyors lesz, mivel a hash (ujjlenyomat) mindig azonos hosszúságú lesz (ha ugyanazt a funkciót használjuk).
A DigiCert telepített könyvtárai új kulcstároló szolgáltatót (KSP) hoznak létre a számítógépén, és API-n keresztül közvetítik a kommunikációt a felhővel. Ezáltal a felhasználó számára minden olyan egyszerűvé válik, mint korábban, amikor a tanúsítványt a számítógépen tárolták. A DigiCert minden főbb rendszerhez rendelkezik könyvtárakkal, így nem kell aggódnia ez miatt sem. Az aláírási folyamatot automatizálhatja az olyan eszközök széles körű támogatásával, mint az Azure DevOps, Jenkins, ANT, Gradle és Apache Maven.
Windows alatt a könyvtárak az Authenticode és a Windows Sign Tool mellett a Mage, a Nuget, a Clickonce, a HLK és a HCK programokkal is működnek. Nemcsak alkalmazások, hanem könyvtárak, illesztőprogramok és gyakorlatilag bármilyen fájltípus aláírását is lehetővé teszi. A PKCS11 könyvtár Java, Android, Linux, Docker, OpenSSL platformokra készült; kompatibilis a Docker Notary, APIKSigner for Android, OpenSSL, GPG, Debian, XML, JSign, osslsigncode és másokkal.
A DigiCert ONE-ról
A DigiCert ONE egy modern PKI-kezelő platform. Minden olyan igényt kielégít, amelyre szüksége lehet - az egyéni hitelesítő hatóságtól a felhőben, a fájlok és alkalmazások aláírásáig. A platformot úgy fejlesztették ki, hogy az automatizálásban használható legyen, és integrálható legyen a CI/CD-be. A DC ONE integrációjáról a DevOps-ba az alábbi dokumentumban olvashat. A Code Signingok tokenjeit eldobhatja, a jövő itt van!
DigiCert ONE gyűjtőnév, az alábbi komponenseket tartalmazza:
- DigiCert® Secure Software Manager
- DigiCert® IoT Device Manager
- DigiCert® Enterprise PKI Manager
- DigiCert® Document Signing Manager
- DigiCert CertCentral® TLS Manager
Hogyan szerezhető be a Secure Software Manager és a DigiCert ONE
Az egyes komponensekhez szükséges licencet és a DigiCert ONE-hoz való hozzáférést a DigiCert Platinum Partnerén, azaz rajtunk keresztül szerezheti be. Lépjen velünk kapcsolatba és indikatív, nem kötelező érvényű árajánlatot készítünk Önnek.
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu