Podepisujte aplikace rychle a bezpečně v cloudu
23. 6. 2022 | Jindřich Zechmeister
Komponenta Secure Software Manager je součástí platformy DigiCert ONE, která je uceleným a moderním řešením pro správu PKI. Umožňuje vám podepisovat software pomocí cloudu a napojit automatické podepisování na váš agilní vývoj a CI/CD. Konečně můžete podepisovat kdekoliv, kdykoliv, automaticky a bez držení samotného certifikátu a privátního klíče!
Seznamte se se Secure Software Managerem
Máte už dost podepisování pomocí Code Signing certifikátů na tokenu? Jeho půjčování v týmu a neustálé zadávání hesla k tokenu? Máte paranoiu z možného zcizení a zneužití Code Signing certifikátu? Nyní na tyto starosti můžete zapomenout, protože přichází Secure Software Manager a řeší tyto tradiční problémy.
Výhody podepisování pomocí Secure Software Manageru
Hlavní výhodou podepisování pomocí Secure Software Manageru je umístění klíčů (privátní klíč a certifikát) v cloudu DigiCertu. O zabezpečení klíčů tedy nemůže být pochyb a privátní klíč se nikdy nedostane ven.
Další velkou výhodou je možnost používat Code Signing EV certifikát zcela volně a bez tokenu. Token vám totiž brání v automatizaci (při každém podpisu se musí zadat heslo), stejně jako jeho půjčování obtěžuje při podepisování v týmu. Nyní můžete mít Code Signing EV certifikát i privátní klíč v cloudu, navíc si můžete sami určit, kdy se může certifikát použít. Nechybí ani další bezpečnostní prvky, jako správa uživatelů či plánování "releasu".
Secure Software Manager vám umožňuje přehlednou správu klíčů a řízení práv k nim. Nastavíte si profily klíčů a certifikátů podle toho, jaké délky klíče a algoritmy chcete používat. Můžete si také naplánovat release a po jeho provedení použití konkrétních klíčů zakázat, nebo nastavit automatickou rotaci klíčů pro větší bezpečnost.
Jak se podepisuje pomocí cloudu?
Secure Software Manager používá tzv. hash signing, jehož principem je podepisování otisku souboru (nikoliv souboru samotného) a který nevyžaduje mít certifikát s privátním klíčem k dispozici. Můžete tak podepisovat stejně jako doposud a rozdíl ani nepoznáte. Markantně se však zvýší bezpečnost retence certifikátů a možnost jejich zneužití se snižuje na minimum. Více o tématu hash signing se dočtete například v dokumentu Hash Signing with DigiCert Secure Software Manager.
Podepisovaná data ani privátní klíč s certifikátem při tomto způsobu podepisování neputují internetem. Tím putuje pouze hash (otisk) podepisovaného souboru, který je podepsán privátním klíčem uloženým v Secure Software Manageru. U velkých souborů je výhoda, že je nemusíte nikam nahrávat; soubor může mít i mnoho gigabajtů, ale záleží na rychlosti vypočítání hashe (otisku), který je většinou proveden v řádu sekund. Po jeho vypočtení bude podepisování stejně rychlé u všech souborů, protože hash (otisk) bude mít vždy stejnou délku (pokud budeme používat stejnou funkci).
Nainstalované knihovny od DigiCertu vytvoří ve vašem počítači nové úložiště klíčů (KSP - key storage provider) a zprostředkují komunikaci s cloudem pomocí API. Pro uživatele je tak vše jednoduché jako dříve, kdy měl certifikát uložený v počítači. DigiCert má knihovny pro všechny majoritní systémy, takže nemusíte mít obavy. Podepisování můžete automatizovat díky široké podpoře nástrojů jako Azure DevOps, Jenkins, ANT, Gradle a Apache Maven.
Na Windows knihovny spolupracují s Authenticode a Windows Sign Tool, ale též s nástroji Mage, Nuget, Clickonce, HLK či HCK. Umožní podepisovat nejen aplikace, ale i knihovny, drivery a prakticky jakýkoliv typ souboru. Knihovna PKCS11 je pak určena pro platformy Java, Android, Linux, Docker, OpenSSL; rozumí si s nástroji a formáty Docker Notary, APIKSigner for Android, OpenSSL, GPG, Debian, XML, JSign, osslsigncode a dalšími.
O DigiCert ONE
DigiCert ONE je platforma pro moderní správu PKI. Pokrývá všechny aspekty, které můžete potřebovat - od vlastní CA v cloudu až po podepisování souborů a aplikací. Platforma byla vyvinuta tak, aby ji bylo možné použít v automatizaci a začlenit do CI/CD. Jak DC ONE integrovat do DevOps zjistíte například v tomto dokumentu. Zahoďte tokeny s Code Signing EV certifikáty, budoucnost je tady!
DigiCert ONE obsahuje tyto komponenty, jejichž název je všeříkající:
- DigiCert® Secure Software Manager
- DigiCert® IoT Device Manager
- DigiCert® Enterprise PKI Manager
- DigiCert® Document Signing Manager
- DigiCert CertCentral® TLS Manager
Jak Secure Software Manager a DigiCert ONE získat
Licenci jednotlivých komponent a přístup do DigiCert ONE získáte přes nás, platinového partnera DigiCertu. Stačí nás kontaktovat s poptávkou na našem kontaktním e-mailu. Následně se s vámi neprodleně spojíme, probereme způsob použití a na základě toho vytvoříme nezávaznou cenovou nabídku.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz