Menu

Últimas notícias

Fique informado
Microsoft adere aos novos padrões de certificados de assinatura de código promovido pelo CASC

Microsoft adere aos novos padrões de certificados de assinatura de código promovido pelo CASC

13/12/2016

Spotlight

Thales apresenta nova edição do “Manual de Ciberameaças: o cibercrime organizado” Ouça

Especialistas apresentam o modus operandi dos cibercriminosos e as formas de combatê-los

21/10/2020

Reimaginando o novo contrato social para a era digital. Entrevista com Don Tapscott

Don Tapscott é uma das maiores autoridades mundiais no impacto da tecnologia nos negócios e na sociedade. Ele compartilha sua visão de futuro de um novo contrato social.

21/10/2020

eIDAS – REGULAMENTO (UE) N.o 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO

eIDAS – REGULAMENTO (UE) Nº 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO

20/10/2020

Empresas brasileiras são beneficiadas pelo certificado ICP-Brasil

A transformação digital, que após a pandemia tornou-se essencial para a economia, já era realidade em diversas empresas brasileiras antes de 2020 com o certificado digital

20/10/2020

Primeiro Documento Eletrônico assinado entre dois Países foi emitido em 2 de outubro de 2020

A possibilidade de acordos internacionais serem assinados por meio de documentos eletrônicos com reconhecimento mútuo entre os países é uma prerrogativa dos documentos que utilizam certificados digitais emitidos por PKIs.

05/10/2020

Novos requerimentos para a emissão de Certificados Digitais Codesign

Por Eder Souza   No artigo “Certificados Digitais Codesign –

15/08/2016

A Microsoft anunciou esta semana que vai exigir das autoridades de certificadoras utilizar requisitos mínimos para que certificados digitais vinculados à executáveis e scripts fundamentados no Windows tenham um padrão de verificação determinados pelo CASC | CA Security Council.

Regina Tupinambá Diretora e Co-Fundadora do CryptoID

Regina Tupinambá | Diretora e Co-Fundadora do CryptoID

Por Regina Tupinambá

Estamos falando dos certificados de assinatura de códigos.

Este assunto já vem sendo discutido no Conselho das Autoridades Certificadoras de Segurança (CASC) desde meados de 2004 e esta semana  eles divulgaram que chegaram a acordo sobre os requisitos de assinatura de código para sistemas baseados no Windows.

O CASC é um grupo formado pelas sete principais autoridades certificadoras mundiais:  Comodo, DigiCert, Entrust, GlobalSign, GoDaddy, Symantec e Trustwave.

Assim como o CAB Forum | CA/Browser Forum,  que é formado pelas autoridades certificadoras  e empresas de browser, determinou os requisitos para a emissão dos certificados SSL/TLS  EV com o objetivo de criar mecanismos para assegurar a confiança em certificados SSL/TLS,  o movimento da CASC tem a expectativa de tornar os certificados de assinatura de código mais confiáveis e com isso tornar a prática de distribuição de malware mais difícil.

Resumidamente: as novas exigências aplicam-se à assinatura de código, que é o processo de aplicação de assinaturas digitais a executáveis e scripts para verificar a identidade de um autor e validar que o código não foi alterado e não é malicioso.

As regras serão aplicadas para as versões do Windows 7 para acima, que  terão os novos padrões aplicados no programa dinâmico de reconhecimento das raízes, o que permite, se necessário, a remoção das raízes facilmente a partir de um único arquivo.

Como esse padrão foi adicionado à política de distribuição da raiz da Microsoft, naturalmente acaba por ser um item obrigatório para todas as autoridades certificadoras, ou seja, a autoridade certificadora emissora de certificados de assinatura de código que não aderir aos novos padrões, fica fora do jogo.

Apesar do acordo ter sido lançado prioritariamente junto a Microsoft, esse padrão se estenderá para além dos navegadores do Windows.  A política aprovada pela CASC incluí raízes não-Microsoft com a expectativa de que outros navegadores e fornecedores de software que dependem de certificados de assinatura de código possam adotar o padrão.

CASC destaca as três diretrizes principais do documento:

  • Proteção mais forte para chaves privadas: A melhor prática é usar o padrão FIPS 140-2, Nível 2 em HSM ou equivalente.
  • Revogação de certificados: Mecanismos para revogação imediata solicitada por um pesquisador de malware ou de um fornecedor de software.
  • Código de assinaturas com carimbo do tempo: As autoridades certificadoras devem incluir uma assinatura de carimbo do tempo em suas assinaturas de códigos.

O CASC publicou um documento técnico que descreve as novas melhores práticas, que está disponível para download aqui .

 

 

 

Não deixe de ler o artigo escrito sobre esse assunto pelo nosso colunista Eder Souza

Novos requerimentos para a emissão de Certificados Digitais Codesign

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<

Pular para a barra de ferramentas