近日,CA/B論壇對代碼簽名證書私鑰做出了變更要求:證書密鑰對必須在達到FIPS 140-2 Level 2 或EAL4+通用标準以及更高标準的硬體加密子產品中生成并存儲。此次變更旨在增強保護代碼簽名證書私鑰。
本次代碼簽名基線要求(CSBR)解決了EV代碼簽名和OV代碼簽名證書的頒發問題。在此之前,CA/B論壇對EV代碼簽名和OV代碼簽名證書有不同的私鑰保護要求。例如,EV代碼簽名證書是存儲在Ukey中寄送到使用者手中,而非EV代碼簽名(即OV代碼簽名)的密鑰對可以在軟體中生成,這就很容易導緻私鑰被分發,進而增加了私鑰洩露的潛在風險。
代碼簽名證書私鑰變更要求
從 2022 年 11 月 15 日起,代碼簽名證書密鑰對必須在達到FIPS 140-2 Level 2 或EAL4+通用标準以及更高标準的硬體加密子產品中生成并存儲。這就意味着不論OV代碼簽名還是EV代碼簽名證書,他們的密鑰對都需在一個硬體裝置中生成,且不支援導出私鑰。無疑,這将有助于最大限度地降低私鑰洩露的可能性。
(CAB論壇 Ballot CSC-13截圖)
代碼簽名證書使用者而言,他們就可以通過操作硬體加密子產品,讓使用方身份具有更高的靈活性。
- 擁有安全令牌或硬體安全子產品(HSM)的使用者
- 雲服務商
- CA機構或其他受信任的簽名服務商
- CA 提供具有預生成密鑰對的硬體加密子產品;
- 使用者代碼證書請求需要通過遠端驗證硬體加密子產品中的密鑰;
- 使用者使用CA強制規定的加密庫和合規的硬體加密子產品組合;
- 使用者提供内外部IT審計,表明它僅使用合規的硬體加密子產品生成密鑰對;
- 使用者提供一份通過了雲端密鑰保護解決方案訂閱和資源配置保護硬體加密子產品中私鑰的報告;
- CA所認可的可證明密鑰對是在使用者托管或基于雲的硬體加密子產品中生成的審計員簽署的報告;
- 使用者提供了符合代碼簽名基線要求的協定證明。
![什麼是 SSH 密鑰? 生成、身份驗證、密鑰對資訊等[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)