注意:不要泄露代码签名证书的私钥!

34天前 0人评论 307人浏览

最近,一些使用代码签名的应用软件被非法篡改或植入恶意病毒木马而导致重大损失的网络事件频频发生。如果恶意软件未签名,用户则会收到提示安全警告;如果使用看似安全的签名恶意软件,则会导致网络安全事故发生。例如,近期行骗者一直在向远程会议软件客户端Zoom嵌入恶意软件,而许多用户并不知道他们的设备正受到攻击。

 image.png

还有一些网络犯罪分子假冒别人的公司,从认证机构获得代码签名证书并窃取他们的私钥。比如去年,黑客破解了华硕的代码签名证书并盗取了相关的私钥,利用恶意软件将其渗透到了100多万台设备中。这些网络危险是真实存在的,所以保护好代码签名证书的私钥至关重要。本文将为大家分享代码签名证书私钥的相关知识。

首先看看两种验证方式的代码签名证书类型:

 image.png

CA对EV代码签名证书的审核要求比普通代码签名更为严格,级别更高。普通代码签名证书的密钥通常是存储在软件或文件系统中,尤其容易被盗取滥用,所以请务必保护好您的私钥;而EV证书的密钥是存储在安全性极高的Ukey中,只有申请组织持有。(关于两者的不同可参阅普通代码签名证书与EV代码签名证书的区别。)根据佐治亚理工学院网络取证创新实验室的研究表明,EV 代码签名证书有99.99%的可能性不受钓鱼攻击和滥用。所以,网络犯罪分子通常会选择普通代码签名证书下手,因为获取这类证书所需的时间和成本相对较低,但这并不代表他们不会恶意使用EV代码签名证书。

由于受新型冠状病毒(COVID-19)的影响,越来越多的人花在上网的时间也变得多了。最近这些天,受恶意软件攻击的数量已大幅度增高。如果这些骗子使用看似合法实则为是恶意软件的代码签名证书,那将会有更多的人掉入他们设计的陷阱中。那么问题来了,如何最大限度的降低受攻击的风险呢?

使用高安全性的EV代码签名证书:

EV代码签名证书除了拥有普通代码签名的特点之外,还有以下两点优势。

可消除SmartScreen筛选器安全提醒,并可在Microsoft的SmartScreen应用程序中立即获得即时信誉。

支持Windows 10内核驱动文件签名,Microsoft强制要求该系统使用EV代码签名证书进行交叉签名。

将您的私钥存储在外部硬件令牌上

为了保护您免受威胁,CA会将EV代码签名证书的密钥存储在高度安全的FIPS 140-2或符合以上标准兼容性的硬件中。目前EV代码签名证书的私钥是存储在USB令牌(即Ukey)上,它可以满足安全存储密钥的要求,还外加PIN进行另一层保护。

为了提升您的软件的安全度和可信度,降低其安全风险,选择一款适合的代码签名证书是非常有必要。锐成信息平台可为您提供高性价比Sectigo普通代码签名证书和更高安全性的EV代码签名证书。更多品牌请点击https://www.racent.com/了解更多!


提交
还没有评论,快来抢沙发吧!
相关博客

锐成信息,欢迎您的到来

需要更多的了解以上产品和解决方案,请立即联系我们技术支持团队和业务专家,他们将给您带来专业的建议!

售前
支持
代理
合作
售后
支持