Сертификат подписи кода Windows — для чего нужен считыватель и криптографическая карта?

Я смотрел на этот сертификат подписи кода на Certum:

https://en.sklep.certum.pl/data-safety/code-signing-certificates/open-source-code-signing-930.html

Он имеет два варианта: либо со «считывателем и криптографической картой» (86 евро), либо без (28 евро).

Я связался с Certum по этому поводу, и они говорят:

С этого года Microsoft требует устанавливать сертификат подписи кода на криптографическую карту, и для чтения этой карты используется считыватель.

Однако я не могу найти никакой информации об этом в Интернете или на официальном сайте Microsoft (возможно, я не ищу нужные ключевые слова, так как страница Certum переведена с польского).

Правда ли, что эта карта и устройство абсолютно необходимы для подписи программного обеспечения? Любая идея, где я могу найти информацию обо всем этом?


windows windows-10 code-signing code-signing-certificate
person laurent    schedule 14.11.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

У меня есть телефон Certum, и мне сказали, что это необходимо. Однако вы можете выбрать более дорогой вариант подписи с открытым исходным кодом в облаке, и они утверждают, что тогда вам не нужна карта и считыватель... Это то, к чему я стремлюсь, но я был так же удивлен, как и вы, что Мне нужно оборудование...

person Daniel Kmak    schedule 17.09.2018

arrow_upward
2
arrow_downward

Это может быть поздний ответ, но вот некоторая информация на случай, если кто-нибудь наткнется на этот пост.

Совет безопасности Центральной Азии:

Более надежная защита закрытых ключей. Лучше всего использовать FIPS 140-2 уровня 2 HSM или аналогичный. Исследования показывают, что атаки с подписью кода делятся поровну между выдачей недобросовестным издателям и выдачей хорошим издателям, которые неосознанно позволяют скомпрометировать свои ключи. Это позволяет злоумышленнику подписать вредоносное ПО, заявив, что оно было опубликовано законной компанией. Таким образом, компании должны либо хранить ключи в аппаратном обеспечении, которое они хранят на собственном оборудовании, либо в новой защищенной облачной службе подписи кода на основе облака.

GlobalSign:

Microsoft объявила, что они будут принимать новые минимальные требования для выдачи и управления сертификатами подписи кода, выпущенными Советом безопасности центра сертификации (CASC). Это означает, что с 1 февраля 2017 г. центры сертификации (ЦС) должны будут соответствовать этим требованиям, чтобы их сертификаты считались доверенными на платформах Windows. Таким образом, GlobalSign будет вносить изменения, перечисленные ниже, начиная с 30 января 2017 года.

Все сертификаты для подписи кода будут выдаваться с помощью USB-токенов

person Graham    schedule 15.04.2018
comment
Означает ли это, что все новые ключи подписи должны распространяться на модулях HSM? Я нахожу на удивление мало информации об этом в Интернете. - person Dan; 18.04.2019