De todos os vários tipos de comprometimento de chave PKI, o comprometimento da chave para a assinatura de código é indiscutivelmente o pior
Uma chave de assinatura de código – Code Signing Certificates – é o que os desenvolvedores de software usam para assinar seus programas e atualizações.
Ao assinar o software, o desenvolvedor está fornecendo uma demonstração criptográfica de que o programa é autêntico e está intacto (não foi adulterado).
Nossos dispositivos – nossos computadores, tablets e telefones celulares – são projetados para confiar nessas assinaturas e, por extensão, no software ou nas atualizações nas quais elas estão afixadas.
Quando o software malicioso é distribuído com assinaturas confiáveis, o caos se instala. Se uma chave de assinatura de código for comprometida, ela permite que um invasor assine malware e nossos dispositivos confiarão nele, executá-lo e serão vítimas de qualquer coisa que seja o jogo final – seja uma violação de rede de alto perfil ou apenas roubo de energia da CPU para minerar Bitcoin.
Então, como você compromete uma chave?
Na realidade, isso geralmente ocorre devido à falha do proprietário legítimo da chave privada em protegê-la adequadamente (é por isso que os certificados de assinatura de código precisam ser protegidos em hardware criptográfico adequado).
Mas também há uma opção de “força bruta” em uma chave, adivinhando seu valor. Destilada em sua forma binária mais simples, uma chave criptográfica RSA é apenas uma série de 1s e 0s. Uma chave de 2.048 bits é uma string de 2.048 1s e 0s. Adivinhar o valor torna-se exponencialmente mais difícil a cada bit que você adiciona. Portanto, mais tempo geralmente equivale a mais seguro.
É por isso que, à luz dos recentes compromissos de assinatura de código, o Fórum CA / B determinou que todas as chaves de assinatura de código sejam aumentadas para melhorar sua segurança. Portanto, a partir de 31 de maio de 2021, todas as chaves de assinatura de código GlobalSign serão emitidas em comprimentos de 4.096 bits. Isso inclui renovações e novas edições também.
Mudanças na assinatura do código EV
A assinatura de código de validação estendida (EV) fornece o nível mais alto de autenticação para signatários e aumenta a reputação com o filtro Microsoft SmartScreen. Um dos requisitos para certificados de assinatura de código EV é que a chave de assinatura deve ser armazenada em um token físico ou em um HSM. Começando com as alterações mencionadas anteriormente no comprimento da chave, a GlobalSign fornecerá novos tokens compatíveis com chaves de 4.096 bits.
Infelizmente, os tokens Safenet 5110 FIPS que têm sido usados historicamente para armazenar certificados de assinatura de código EV NÃO são compatíveis com as novas chaves de assinatura mais longas. Como resultado, qualquer pessoa que reemita ou renove seu Certificado de Assinatura de Código EV receberá um token atualizado para sua chave – o Safenet 5110 CC (940).
Atualizações em nossas URLs de carimbo do tempo e de assinatura de código
O Carimbo do Tempo ou Time Stamp, é um componente crítico da assinatura de código. Embora tecnicamente opcional, o carimbo de data / hora mantém as assinaturas criptográficas feitas por sua chave válidas para sempre. Sem um carimbo de data / hora, as assinaturas deixam de ser confiáveis quando o certificado associado à chave de assinatura expira (dentro de três anos).
De acordo com os novos requisitos em torno da assinatura de código, a GlobalSign fará atualizações em seus serviços de carimbo de data / hora. Configuramos um novo URL R6 TSA, bem como um novo URL R3 para substituir nosso antigo.
Os clientes TSA devem migrar para os novos URLs de carimbo de data / hora de assinatura de código listados abaixo até 1º de junho de 2021.
Recomendamos que todos os clientes mudem para o novo URL R6 TSA – TSA ou Time Stamp Authority, Autoridades de Carimbo do Tempo.
A partir de 1º de junho de 2021, os URLs de carimbo de data / hora anteriores que utilizavam a raiz R3 serão descontinuados e os clientes não poderão mais usá-los para assinar.
“As always, we want to thank those of you who have already chosen GlobalSign to be your Code Signing Certificate provider. If you have any questions or concerns please reach out to our Support Team. We are happy to assist you.“
Fonte: GlobalSign
Maximum SSL/TLS Certificate Validity is Now One Year. By Patrick Nohe
Online Identity Is Important: Let’s Upgrade Extended Validation. By Patrick Nohe
Certificado Digital de assinatura de códigos mais uma vez é usado para fraudes
Microsoft adere aos novos padrões de certificados de assinatura de código promovido pelo CASC
Qual é o valor legal de uma assinatura eletrônica?
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.