De todos los distintos tipos de riesgos de claves PKI, el riesgo de pérdida de claves para la Firma de Código es posiblemente el peor. Una clave de Firma de Código es lo que los desarrolladores de software utilizan para firmar sus programas y actualizaciones. Al firmar el software, el desarrollador está proporcionando una demostración criptográfica de que el programa es auténtico, y que está intacto (no ha sido manipulado).
Nuestros dispositivos -nuestros ordenadores, tabletas y teléfonos móviles- están diseñados para confiar en estas firmas y por extensión, en el software o las actualizaciones a las que se adhieren. Sin embargo, cuando el software malicioso se distribuye con firmas de confianza, se produce el caos. Si una clave de firma de código se ve comprometida, permite a un atacante firmar un malware y nuestros dispositivos confiarán en él, lo ejecutarán y serán víctimas de lo que sea su objetivo final, ya sea una brecha en la red de alto perfil o simplemente el robo de potencia de la CPU para minar Bitcoin.
Entonces, ¿cómo se compromete una clave? En realidad, a menudo se debe a que el propietario legítimo de la clave privada no la asegura como corresponde (por eso los certificados de firma de código deben estar asegurados en un hardware criptográfico adecuado). Pero también existe la opción de "forzar" una clave, adivinando su valor. Llevada a su forma binaria más simple, una clave criptográfica RSA es sólo una serie de 1s y 0s. Una clave de 2.048 bits es una cadena de 2.048 1s y 0s. Adivinar el valor se vuelve exponencialmente más difícil con cada bit que se añade. Por lo tanto, una clave más larga suele ser más segura.
Por eso, a la luz de los recientes riesgos de firma de código, el CA/B Forum ha ordenado que todas las claves de firma de código se alarguen para mejorar su seguridad. Así, a partir del 31 de mayo de 2021, todas las claves de firma de código de GlobalSign se emitirán con una longitud de 4.096 bits. Esto incluye también las renovaciones y reemisiones.
Cambios en la firma de código con EV
La Firma de Código con Validación Extendida (EV) proporciona el más alto nivel de autenticación para los firmantes y da un impulso de reputación con el filtro Microsoft SmartScreen. Uno de los requisitos de los certificados de firma de código EV es que la clave de firma debe almacenarse en un token físico o en un HSM. Junto con los cambios mencionados en la longitud de la clave, GlobalSign proporcionará nuevos tokens compatibles con claves de 4.096 bits.
Lamentablemente, los tokens FIPS de Safenet 5110 que se han utilizado históricamente para almacenar los certificados de firma de código EV NO son compatibles con las nuevas claves de firma más largas. Por ello, cualquier persona que vuelva a emitir o renovar su certificado de firma de código EV recibirá un token actualizado para su clave: el Safenet 5110 CC (940).
Actualizaciones de nuestras URL de sellado de tiempo para la firma de código
El sellado de tiempo es un componente crítico de la Firma de Código. Aunque técnicamente es opcional, el sellado de tiempo mantiene la validez de las firmas criptográficas realizadas por su clave a perpetuidad. Sin una marca de tiempo, las firmas dejan de ser fiables cuando el certificado asociado a la clave de firma caduca (en un plazo de tres años).
De acuerdo con los nuevos requisitos en torno a la firma de código, GlobalSign actualizará sus servicios de sellado de tiempo. Hemos creado una nueva URL TSA R6, así como una nueva URL R3 para sustituir a la anterior. Los clientes de la TSA deben migrar a las nuevas URL de sellado de tiempo de Code Signing que se indican a continuación antes del 1 de junio de 2021. Recomendamos a todos los clientes que cambien a la nueva URL TSA R6.
A partir del 1 de junio de 2021, las anteriores URL de sellado de tiempo que aprovechaban la raíz R3 quedarán obsoletas y los clientes ya no podrán utilizarlas para firmar.
Como siempre, queremos agradecer a aquellos que ya han elegido a GlobalSign como su proveedor de certificados de firma de código. Si tiene alguna pregunta o duda, póngase en contacto con nuestro equipo de asistencia. Estaremos encantados de ayudarle.