De tous les types de compromission de clé PKI, la compromission de clé pour la signature de code est sans doute la pire. Une clé de signature de code est utilisée par les développeurs de logiciels pour signer leurs programmes et leurs mises à jour. En signant le logiciel, le développeur fournit une démonstration cryptographique de l'authenticité du programme et de son intégrité (il n'a pas été altéré).
Nos appareils - nos ordinateurs, tablettes et téléphones portables - sont conçus pour faire confiance à ces signatures et, par extension, aux logiciels ou mises à jour sur lesquels elles sont apposées. Cependant, lorsque des logiciels malveillants sont distribués avec des signatures de confiance, c'est le chaos. Si une clé de signature de code est compromise, elle permet à un attaquant de signer un logiciel malveillant et nos appareils lui feront confiance, l'exécuteront et seront victimes de son objectif final, quel qu'il soit, qu'il s'agisse d'une violation de réseau très médiatisée ou simplement du vol de la puissance du processeur pour miner des bitcoins.
Alors, comment compromettre une clé ? En réalité, cela est souvent dû au fait que le propriétaire légitime de la clé privée n'a pas réussi à la sécuriser en conséquence (c'est pourquoi les certificats de signature de code doivent être sécurisés sur du matériel cryptographique adéquat). Mais il existe également une option de "force brute" pour deviner la valeur d'une clé. Sous sa forme binaire la plus simple, une clé cryptographique RSA est simplement une série de 1 et de 0. Une clé de 2 048 bits est une chaîne de 2 048 1 et 0. Deviner la valeur devient exponentiellement plus difficile avec chaque bit ajouté. Une clé plus longue est donc généralement plus sûre.
C'est pourquoi, à la lumière des récentes compromissions de signature de code, le Forum CA/B a exigé que toutes les clés de signature de code soient allongées pour améliorer leur sécurité. Ainsi, à partir du 31 mai 2021, toutes les clés de signature de code GlobalSign seront désormais émises avec une longueur de 4 096 bits. Cela inclut également les renouvellements et les réémissions.
Modifications apportées à la signature de code EV
La signature de code Extended Validation (EV) fournit le plus haut niveau d'authentification pour les signataires et renforce leur réputation avec le filtre Microsoft SmartScreen. L'une des exigences pour les certificats de signature de code EV est que la clé de signature doit être stockée sur un token physique ou dans un HSM. En plus des changements susmentionnés concernant la longueur des clés, GlobalSign fournira de nouveaux tokens compatibles avec des clés de 4 096 bits.
Malheureusement, les tokens Safenet 5110 FIPS qui ont été historiquement utilisés pour stocker les certificats de signature de code EV ne sont PAS compatibles avec les nouvelles clés de signature plus longues. Par conséquent, toute personne réémettant ou renouvelant son certificat de signature de code EV recevra un jeton mis à niveau pour sa clé : le CC (940) Safenet 5110.
Mises à jour de nos URL d'horodatage pour la signature de code
L'horodatage est un élément essentiel de la signature de code. Bien que techniquement facultatif, l'horodatage permet de maintenir la validité des signatures cryptographiques réalisées par votre clé à perpétuité. Sans horodatage, les signatures cessent d'être fiables lorsque le certificat associé à la clé de signature expire (dans les trois ans).
Conformément aux nouvelles exigences relatives à la signature de code, GlobalSign va procéder à des mises à jour de ses services d'horodatage. Nous avons mis en place une nouvelle URL TSA R6, ainsi qu'une nouvelle URL R3 pour remplacer notre ancienne URL. Les clients TSA doivent migrer vers les nouvelles URL d'horodatage de Code Signing listées ci-dessous avant le 1er juin 2021. Nous recommandons à tous les clients de passer à la nouvelle URL TSA R6.
À compter du 1er juin 2021, les précédentes URL d'horodatage qui utilisaient la racine R3 seront dépréciées et les clients ne pourront plus les utiliser pour signer.
Comme toujours, nous tenons à remercier ceux d'entre vous qui ont déjà choisi GlobalSign pour être leur fournisseur de certificats de signature de code. Si vous avez des questions ou des préoccupations, veuillez contacter notre équipe d'assistance. Nous serons heureux de vous aider.