CodeSign - Keysec Segurança Da Informação

O que é certificado de assinatura de código?

Um certificado de assinatura de código é um certificado digital que contém informações que identificam totalmente uma entidade. O certificado é emitido por uma autoridade certificadora, como a GlobalSign. O certificado digital vincula a identidade e uma organização a uma chave pública relacionada matematicamente a um par de chaves privadas. O uso de sistemas de chave privada e pública é chamado de Infraestrutura de Chave Pública (PKI, Public Key Infrastructure). O desenvolvedor assina o código com sua chave privada e o usuário final usa a chave pública do desenvolvedor para verificar a identidade do desenvolvedor. Saiba mais sobre a assinatura de código e as diferenças entre código assinado e não assinado.

Permitimos que certificados de assinatura de código com validade estendida e certificados padrão sejam instalados nos módulos de segurança de hardware (HSMs) do cliente ou no Azure Key Vault. Saiba mais sobre a assinatura de código para obter mais informações sobre essas opções de implantação. Observação: Token USB não incluído nas implementações de módulo de segurança de hardware (HSM) ou Azure Key Vault.

Aumente a confiança do cliente e as taxas de download

Os certificados de assinatura de código com validade estendida reúnem todos os benefícios da assinatura de código padrão, além dos seguintes recursos adicionais:

Endereço da empresa e tipo de organização exibidos no certificado

Carimbo de data e hora, a assinatura não expira após a expiração do certificado

Certificado armazenado em um token de hardware para autenticação bifatorial

Reputação imediata com o Microsoft SmartScreen

É necessário para acessar o Portal do Painel do Centro de Desenvolvimento de Hardware do Windows

Assine digitalmente uma quantidade ilimitada de aplicativos com um único certificado

Compatível com a maioria das plataformas (Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla)

Assinatura de código para provedores de software e empresas

Os certificados de assinatura de código são utilizados por programadores em todas as plataformas para assinar digitalmente os aplicativos e softwares que eles distribuem na internet. Incluindo o nome do fabricante e protegendo contra injeções de malware e outros tipos de corrupção, a assinatura de código fornece aos clientes a mesma segurança de um software embalado, comprado em loja. Qualquer pessoa que faça download do software pela internet pode decidir se deve ou não confiar no software.

Os certificados de assinatura de código utilizam uma criptografia exclusiva para vincular a identidade do fabricante ao software. Os avisos de segurança com códigos sem assinatura são substituídos com notificações contendo as informações do fabricante do software, evitando que os usuários abandonem a instalação e aumentando as taxas de download. O certificado para assinatura de código aumenta a confiança no processo de instalação. A assinatura de código garante que o software assinado é legítimo, advém de um provedor conhecido e que seu código não foi violado desde o momento de sua publicação. A assinatura de código previne que usuários abandonem a instalação de um aplicativo por terem recebido mensagens de alerta de segurança, alternância maliciosa de código legítimo e roubo de identidade do autor provedor.

Enfrentando verificação frágil e pouca proteção de chave

A assinatura de código com validade estendida aborda as duas vulnerabilidades mais utilizadas pelos desenvolvedores de malware para espalhar seus códigos maliciosos – processos frágeis de verificação de identidade e pouca proteção de chave privada.

Processo de verificação rigoroso - aqueles que solicitam certificados de assinatura de código com validade estendida passam por um processo mais rigoroso do que os que solicitam certificados padrão. Além de verificar o nome da organização do autor, outras informações corporativas, como endereço físico e competência, são examinadas. Esse processo minucioso de análise torna muito mais difícil para um desenvolvedor de malware usurpar a identidade e obter uma credencial de assinatura de código e depois utilizá-la para assinar malware disfarçado de uma empresa legítima de desenvolvimento.

Certificado armazenado em token USB - Diferentemente dos certificados de assinatura de código comuns que ficam localizados na máquina do desenvolvedor, todos os certificados de assinatura de código da GlobalSign são armazenados em tokens criptografados. Isto torna muito mais difícil que um terceiro copie ou furte a chave privada de assinatura e a utilize para distribuir software malicioso sob a identidade do titular verdadeiro do certificado

Verificação imediata de reputação com o filtro SmartScreen da Microsoft

O SmartScreen da Microsoft utiliza informações de reputação de aplicativos para alertar usuários finais caso um aplicativo não seja muito conhecido e possa ser mal-intencionado. A partir do Internet Explorer 9.0 e Windows 8, os aplicativos assinados com um certificado de assinatura de código com validade estendida têm sua reputação estabelecida imediatamente. Portanto, nenhum aviso alarmante será exibido durante o download.

Suporte a várias plataformas Os certificados de assinatura de código da GlobalSign suportam várias plataformas usando o mesmo certificado.
- Authenticode da MS
- Adobe AIR
- Apple
- Objetos do Netscape e Mozilla
- Macros e VBA
- Java

Certificado padrão vs Certificado de assinatura de código com validade estendida (EV)

Os certificados de assinatura de código com validade estendida (EV) baseiam-se nos benefícios existentes dos certificados padrões de assinatura de código, mas oferecem níveis mais fortes de garantia para assegurar que a identidade do fabricante está correta e que foi verificada.

Processo de verificação mais rigoroso assegura aos usuários finais que a identidade do fabricante foi verificada Verificação imediata de reputação com o filtro SmartScreen da Microsoft, remove mensagens de alerta intimidantes enviadas aos usuários de que o aplicativo possa ser malicioso.