カテゴリー

Uncategorized

進化するコード署名のベースライン要件に対応する

  1. HOME >
  2. Uncategorized >

進化するコード署名のベースライン要件に対応する

今日の開発主導型の組織では、コードの整合性を維持することが常に最優先事項です。ただし、最近のSolarWindsの侵害は、悪意のある改ざんを阻止し、信頼を最大化することの重要性をはっきりと思い出させました。この攻撃は、通常は業界のベストプラクティスである定期的なソフトウェアの更新を利用したため、特に大胆でした。

コード署名

コード署名証明書ではなくソフトウェア署名プロセスがSolarWindsインシデントを引き起こしましたが、その影響により、業界はより大きなキーを使用してコード署名証明書を強化し、将来にわたって安全性を維持できる署名を作成するようになりました。

コード署名証明書と署名は寿命が長く、他のほとんどの種類の証明書よりも長く信頼する必要があるため、変更はかなり前から行われています。キーの長さが短いほど、暗号化攻撃に対する耐性が低くなり、署名されたコードへの信頼が弱まります。

ブルートフォース攻撃を軽減するためのより長いキーサイズに加えて、企業はコード署名キーが悪意のある人の手に渡らないように保護するためにさらに多くのことを行う必要があります。盗まれた証明書の結果は、サイバーセキュリティを超えています。会社の名前は証明書に記載されているため、盗まれた場合、その名前は関連するマルウェアにも表示され、ブランドや評判に甚大な損害を与える可能性があります。

コード署名への前向きなアプローチ

規制機関は、コード署名に対する実際的なセキュリティの改善が長い間必要とされてきたことを理解しています。2020年5月、米国国立標準技術研究所(NIST)は、NIST SP800-57のキー管理に関する最新の推奨事項を発行しました。ガイダンスでは、2048ビットのRSAキーを2030年までに廃止することを推奨しています。2030年は遠い将来のように思われるかもしれませんが、現在作成されている署名と証明書の多くは引き続き使用されます。

他の主要な標準化団体も同様の動きをしました。最新のCA /ブラウザフォーラムの要件では、公的に信頼されているコード署名とタイムスタンプ証明書の3072ビットRSA最小キー要件が指定されています。既存の証明書と署名は影響を受けませんが、新しい証明書、更新、および交換は、新しい要件に準拠する必要があります。これらの更新は、2021年6月1日に発効します。

マイクロソフトは規制機関の主導に従い、ポリシーも更新しました。同社は現在、4096ビットRSAを使用するために、コード署名とタイムスタンプ用のすべての新しいルートキーを必要としています。Microsoftはまた、2030年以降は2048ビットのRSAルート証明書を信頼しないことを発表しました。

ベストプラクティスを倍増する機会

これらの変更は、セキュリティに対する前向きな動きを表しています。また、組織が独自のセキュリティ慣行を再評価する良い機会でもあります。最も厳格なセキュリティテクノロジでさえ、正しく実装された管理手順に裏打ちされていなければ、ほとんど役に立ちません。企業は、コード署名の慣行を注意深く見直して、証明書がどこにあるか、どのような管理手順が関連付けられているか、および秘密鍵をどのように保護しているかを確認する必要があります。

署名キーの使用を制御することは、安全なコード署名のための重要な基盤です。たとえば、すべてに署名するために同じキーを使用するのではなく、強力で頻繁なキーローテーション戦略が重要です。これがないと、キーが危険にさらされた場合、署名したすべてのものが危険にさらされます。コード署名を成功させるには、透明性と制御も必要です。署名権を指定して完全に制御できるため、組織は署名キーに脆弱性がないことを知って安心できます。説明責任を確保するために、企業は、コードがいつ誰によって署名されたかを示すレポートを生成する機能も必要です。

コード署名を管理するためのサービスベースのアプローチは、キー管理に大きな利点を提供できます。最新のマネージド署名サービスにより、組織は、ポータブルで柔軟な展開モデルを使用して、CI / CDパイプライン全体に自動セキュリティを適用します。また、秘密署名、オンデマンドキー、ローテーションキーの署名ごとに一意のキーや証明書などのベストプラクティスを適用することもできます。最新の署名管理ツールを使用すると、企業はコードを製品開発プロセスにスムーズかつシームレスに統合できると同時に、管理された監査可能な方法で署名アクティビティと管理を委任できます。理想的なソリューションは、大量の証明書の迅速な展開を可能にすると同時に、オンプレミス、国内、またはクラウドに展開する柔軟性を提供します。

キーストレージは、コード署名のもう1つの重要なコンポーネントです。組織は、すべてのキーがどこにあるかを知り、それらを安全に保管できる必要があります。最新の管理ツールにより、企業はキーを仮想ハードウェアセキュリティモジュール(HSM)にオフラインで安全に保存し、オンデマンドでアクセスできるようになります。また、エンジニアリングチームが一意のキーを使用してセキュリティを意識した署名システムを展開し、キーの共有を阻止するのにも役立ちます。

組織が暗号化の変更を行う場合、集中管理システムにより、すべてのキーがどこにあり、すべての証明書がどこにあるかを知ることができるだけでなく、キーのサイズやアルゴリズムを簡単に交換して更新することもできます。大規模な自動化された方法。一元化されたプラットフォームを使用すると、セキュリティチームは組織のポリシー制御を実施して、不適切なキーサイズや証明書の有効性などの非準拠の証明書属性を持つ証明書の発行を制限することもできます。

キープロテクションは常に進化しています

1つ確かなことは、開発者にとって、今後の予測不可能性に対応するために企業が暗号化の俊敏性を高めることを要求する変更が間近に迫っていることです。そのためには、コード署名証明書プロセスの一環として、自動化と迅速な対応を優先する必要があります。

たとえば、広く採用されているgitソフトウェアバージョン管理システムの開発者は、SHA-1ハッシュアルゴリズムからより堅牢なSHA-265アルゴリズムに移行中です。この段階的な移行は脆弱性に対処することが期待されますが、組織は新しいより強力なハッシュ関数を実装するために迅速に移行する必要もあります。

ポスト量子暗号の時代も間もなく始まり、ほとんどのIT専門家は、近い将来、それが主要なセキュリティの脅威になると考えています。量子技術がRSAやECCのようなアルゴリズムを危険にさらしている段階にはまだ達していませんが、NISTなどの業界団体は量子安全アルゴリズムを選択するための措置積極的に講じています

必要な慣行として、暗号の使用が分散システム全体で拡大し続けているため、攻撃者は革新を止めることはなく、セキュリティチームも同様です。コンプライアンスを維持し、確保するための時間やリソースに苦労している組織の場合、一元化された管理されたPKIプラットフォームにより、ソリューション、顧客、およびブランドを保護するために、最新のベストプラクティスに簡単に対応できます。

-Uncategorized