Van alle soorten inbreuken op PKI-keys zijn inbreuken op keys voor Code Signing misschien wel de ergste. Een Code Signing-key is wat softwareontwikkelaars gebruiken om hun programma's en updates te ondertekenen. Door de software te ondertekenen, toont de ontwikkelaar op cryptografische wijze aan dat het programma authentiek is en dat het intact is (dat er niet mee geknoeid is).
Onze apparaten – onze computers, tablets en mobiele telefoons – zijn ontworpen om deze handtekeningen te vertrouwen en, bij uitbreiding, de software of updates waarop ze zijn toegepast. Wanneer schadelijke software echter wordt verspreid met vertrouwde handtekeningen, ontstaat er chaos. Als een Code Signing-key wordt gecompromitteerd, kan een aanvaller malware ondertekenen en zullen onze apparaten deze vertrouwen, uitvoeren en het slachtoffer worden van wat het eindspel ook mag zijn – of dat nu een belangrijke netwerkinbraak is of gewoon het stelen van CPU-kracht om bitcoin te minen.
Hoe compromitteer je een key? In werkelijkheid is dit vaak te wijten aan het feit dat de legitieme eigenaar van de private key er niet in is geslaagd deze dienovereenkomstig te beveiligen (en daarom moeten Code Signing-certificaten worden beveiligd met adequate cryptografische hardware). Maar er is ook een optie om een “brute force”-aanval uit te voeren op een key, door de waarde ervan te raden. In zijn eenvoudigste binaire vorm is een RSA cryptografische sleutel gewoon een reeks van 1’en en 0’en. Een sleutel van 2048 bits is een reeks van 2048 1’en en 0’en. Het raden van de waarde wordt exponentieel moeilijker met elke bit die u toevoegt. Langer betekent dus meestal veiliger.
Daarom heeft het CA/B Forum, in het licht van recente inbreuken bij het ondertekenen van code, bepaald dat alle Code Signing-keys langer moeten worden gemaakt om de veiligheid ervan te verbeteren. Vanaf 31 mei 2021 worden alle Code Signing-keys van GlobalSign uitgegeven met een lengte van 4096 bits. Dit geldt ook voor verlengingen en heruitgiftes.
Wijzigingen aan EV Code Signing
Extended Validation (EV) Code Signing biedt het hoogste niveau van authenticatie voor ondertekenaars en geeft een reputatieboost met het Microsoft SmartScreen-filter. Een van de vereisten voor EV Code Signing-certificaten is dat de ondertekeningssleutel moet worden opgeslagen op een fysiek token of in een HSM. Naast de bovengenoemde wijzigingen in keylengte zal GlobalSign nieuwe tokens aanbieden die compatibel zijn met keys van 4096 bits.
Helaas zijn de SafeNet 5110 FIPS-tokens die in het verleden werden gebruikt om EV Code Signing-certificaten op te slaan NIET compatibel met de nieuwe, langere ondertekeningssleutels. Daarom zal iedereen die zijn EV Code Signing-certificaat opnieuw uitgeeft of verlengt een geüpgraded token voor zijn sleutel ontvangen – de SafeNet 5110 CC (940).
Updates voor onze Code Signing Timestamping URL’s
Tijdstempels zijn een cruciaal onderdeel van Code Signing. Hoewel dit technisch gezien optioneel is, zorgt een tijdstempel ervoor dat de cryptografische handtekeningen die door uw key zijn gemaakt permanent geldig blijven. Zonder tijdstempel worden handtekeningen niet langer vertrouwd als het certificaat dat aan de ondertekeningssleutel is gekoppeld (binnen drie jaar) verloopt.
In overeenstemming met de nieuwe vereisten rond Code Signing zal GlobalSign updates van haar tijdstempelservices doorvoeren. We hebben een nieuwe R6 TSA URL opgezet, evenals een nieuwe R3 URL om onze oude URL te vervangen. TSA-klanten moeten vóór 1 juni 2021 migreren naar de nieuwe Timestamping URL's voor Code Signing die hieronder zijn vermeld. We raden alle klanten aan over te stappen op de nieuwe R6 TSA URL.
Met ingang van 1 juni 2021 worden de vorige Timestamping URL's die gebruikmaakten van de R3 root verwijderd en kunnen klanten deze niet langer gebruiken om te ondertekenen.
Zoals altijd willen we degenen onder u bedanken die GlobalSign al hebben gekozen als uw provider van Code Signing-certificaten. Als u vragen of opmerkingen heeft, kunt u contact opnemen met ons supportteam. We helpen u graag.