Últimas notícias

Fique informado

GlobalSign anuncia mudanças no comprimento da chave de assinatura de código

12 de maio de 2021

Spotlight

Tecnologia referência em segurança chega ao ramo educacional através da CredDefense

Além de universidades e faculdades, a CredDefense quer oferecer seus serviços para escolas de ensino fundamental e médio e também para cursinho pré-vestibular

8 de junho de 2021

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

PGP Marks 30th Anniversary – 6 June 2021 – Today marks the 30th anniversary of the release of PGP 1.0

8 de junho de 2021

O que é uma cifra de bloco e como ela funciona para proteger seus dados?

Uma cifra de bloco tem alta difusão (as informações de um símbolo de texto simples são distribuídas em vários símbolos de texto cifrado).

7 de junho de 2021

Comissão Europeia propõe uma identidade digital segura e de confiança para todos os europeus

As Orientações da Comissão para a digitalização até 2030 definem uma série de metas e marcos que a identidade digital europeia ajudará a alcançar.

7 de junho de 2021

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Digicert Fala sobre o CA/B Fórum e sua atuação como AC

O Fórum de Autoridade de Certificação / Navegador CA/B é o órgão de definição de padrões que colabora nos aspectos de segurança de sites

21 de janeiro de 2021

De todos os vários tipos de comprometimento de chave PKI, o comprometimento da chave para a assinatura de código é indiscutivelmente o pior

Patrick Nohe – Senior Product Marketing Manager at GlobalSign

Uma chave de assinatura de código – Code Signing Certificates – é o que os desenvolvedores de software usam para assinar seus programas e atualizações. 

Ao assinar o software, o desenvolvedor está fornecendo uma demonstração criptográfica de que o programa é autêntico e está intacto (não foi adulterado).

Nossos dispositivos – nossos computadores, tablets e telefones celulares – são projetados para confiar nessas assinaturas e, por extensão, no software ou nas atualizações nas quais elas estão afixadas. 

Quando o software malicioso é distribuído com assinaturas confiáveis, o caos se instala. Se uma chave de assinatura de código for comprometida, ela permite que um invasor assine malware e nossos dispositivos confiarão nele, executá-lo e serão vítimas de qualquer coisa que seja o jogo final – seja uma violação de rede de alto perfil ou apenas roubo de energia da CPU para minerar Bitcoin.

Então, como você compromete uma chave? 

Na realidade, isso geralmente ocorre devido à falha do proprietário legítimo da chave privada em protegê-la adequadamente (é por isso que os certificados de assinatura de código precisam ser protegidos em hardware criptográfico adequado). 

Mas também há uma opção de “força bruta” em uma chave, adivinhando seu valor. Destilada em sua forma binária mais simples, uma chave criptográfica RSA é apenas uma série de 1s e 0s. Uma chave de 2.048 bits é uma string de 2.048 1s e 0s. Adivinhar o valor torna-se exponencialmente mais difícil a cada bit que você adiciona. Portanto, mais tempo geralmente equivale a mais seguro.

É por isso que, à luz dos recentes compromissos de assinatura de código, o Fórum CA / B determinou que todas as chaves de assinatura de código sejam aumentadas para melhorar sua segurança. Portanto, a partir de 31 de maio de 2021, todas as chaves de assinatura de código GlobalSign serão emitidas em comprimentos de 4.096 bits. Isso inclui renovações e novas edições também.

Mudanças na assinatura do código EV

A assinatura de código de validação estendida (EV) fornece o nível mais alto de autenticação para signatários e aumenta a reputação com o filtro Microsoft SmartScreen. Um dos requisitos para certificados de assinatura de código EV é que a chave de assinatura deve ser armazenada em um token físico ou em um HSM. Começando com as alterações mencionadas anteriormente no comprimento da chave, a GlobalSign fornecerá novos tokens compatíveis com chaves de 4.096 bits.

Infelizmente, os tokens Safenet 5110 FIPS que têm sido usados ​​historicamente para armazenar certificados de assinatura de código EV NÃO são compatíveis com as novas chaves de assinatura mais longas. Como resultado, qualquer pessoa que reemita ou renove seu Certificado de Assinatura de Código EV receberá um token atualizado para sua chave – o Safenet 5110 CC (940).

Atualizações em nossas URLs de carimbo do tempo e de assinatura de código

O Carimbo do Tempo ou Time Stamp, é um componente crítico da assinatura de código. Embora tecnicamente opcional, o carimbo de data / hora mantém as assinaturas criptográficas feitas por sua chave válidas para sempre. Sem um carimbo de data / hora, as assinaturas deixam de ser confiáveis ​​quando o certificado associado à chave de assinatura expira (dentro de três anos).

De acordo com os novos requisitos em torno da assinatura de código, a GlobalSign fará atualizações em seus serviços de carimbo de data / hora. Configuramos um novo URL R6 TSA, bem como um novo URL R3 para substituir nosso antigo. 

Os clientes TSA devem migrar para os novos URLs de carimbo de data / hora de assinatura de código listados abaixo até 1º de junho de 2021.

Recomendamos que todos os clientes mudem para o novo URL R6 TSA – TSA ou Time Stamp Authority, Autoridades de Carimbo do Tempo.

A partir de 1º de junho de 2021, os URLs de carimbo de data / hora anteriores que utilizavam a raiz R3 serão descontinuados e os clientes não poderão mais usá-los para assinar.

As always, we want to thank those of you who have already chosen GlobalSign to be your Code Signing Certificate provider. If you have any questions or concerns please reach out to our Support Team. We are happy to assist you.

Fonte: GlobalSign

Maximum SSL/TLS Certificate Validity is Now One Year. By Patrick Nohe

Online Identity Is Important: Let’s Upgrade Extended Validation. By Patrick Nohe 

Certificado Digital de assinatura de códigos mais uma vez é usado para fraudes

Microsoft adere aos novos padrões de certificados de assinatura de código promovido pelo CASC

Qual é o valor legal de uma assinatura eletrônica?

A DigiCert anuncia o DigiCert Automation Manager, uma solução empresarial inovadora e voltada para a automação de certificados TLS em larga escala no local

Sobre o Crypto ID | O maior Portal Brasileiro sobre identificação digital

O Crypto ID está entre os mais segmentados e conceituados portais brasileiros sobre conteúdo de segurança da informação. Temos foco em soluções que agregam garantias legais às transações feitas nos meios eletrônicos.

Mais de 1,14 mil pessoas diferentes acessam o Crypto ID por ano para ler pelo menos uma matéria e destacamos que 76% da nossa audiência é orgânica e 67% dos nossos leitores são profissionais C-Level.

Leitores do Crypto ID acessam nosso conteúdo para se atualizarem e obterem conhecimento sobre as inovações e os respectivos fornecedores do mercado brasileiro e internacional.

Nossa audiência | Mídia kit 2020, acesse aqui!