Persoonlijke sleutels beveiligen
Praktische tips voor het ondertekenen van code: Persoonlijke sleutels op een veilige manier genereren en bewaren
DigiCert raadt ontwikkelaars aan voorzorgsmaatregelen te nemen bij het implementeren van hun code-ondertekeningsproces en bij het beveiligen van de persoonlijke sleutels die zijn gekoppeld aan hun ondertekeningscertificaten.
Aanbevelingen
Toegang tot sleutels beperken
Behoud de toegangscontrole tot en de verantwoording van Code Signing-sleutels en beperk de verspreiding ervan. Dat helpt om strikte aansprakelijkheid af te dwingen voor het gebruik van sleutels.
Beveilig het opslagapparaat voor sleutels fysiek in een afgesloten container
Zorg ervoor dat opslagapparaat voor sleutels niet op bureaus of in niet-afgesloten lades worden achtergelaten, of waar ze gemakkelijk kunnen worden meegenomen of gekopieerd.
Bewaar het apparaat met de persoonlijke sleutel in een afgesloten bureaulade, kast of achter gesloten deuren.
Kies een sterk wachtwoord voor de persoonlijke sleutel.
Kies een sterk wachtwoord voor de persoonlijke sleutel. We vereisen minimaal zestien (16) willekeurig gegenereerde tekens die hoofdletters, kleine letters, cijfers en symbolen bevatten om persoonlijke sleutels over te dragen. Woorden in een woordenboek, afgeleiden van gebruikers-ID's, veelvoorkomende tekenreeksen (zoals 123456), eigennamen, geografische locaties, gemeenschappelijke acroniemen, jargon, namen van familieleden, verjaardagen, enz. moeten niet worden gebruikt.
Veilige opslag voor de persoonlijke sleutel
Sla een persoonlijke sleutel veilig op met een FIPS 140-2 Level 2-gecertificeerd cryptografisch apparaat. Het exporteren van de persoonlijke sleutel is niet toegestaan door deze cryptografische apparaten. De meeste van deze apparaten zijn uitgerust met meervoudige verificatie.
Test Signing-certificaat versus Release Signing-certificaat
Microsoft raadt aan om een afzonderlijk Test Signing-certificaat te gebruiken om prerelease-code te ondertekenen. Het Test Signing-certificaat mag alleen worden vertrouwd in de testomgeving. Test Signing-certificaten kunnen een zelfondertekend certificaat zijn of afkomstig zijn van een interne test-CA.
Aanvullende informatie
Voor meer informatie biedt Microsoft een document met aanbevolen procedures over het ondertekenen van code.