Защитить частные ключи

Методические рекомендации по подписыванию кодов Создание и хранение закрытых ключей безопасным образом

DigiCert рекомендует разработчикам соблюдать меры предосторожности при интеграции своего процесса подписывания кода и обеспечении защиты частных ключей, ассоциированных с их сертификатами подписи.

Рекомендации

Ограничение доступа к ключам

Обеспечьте управление доступом к ключам подписывания кодов и учет их использования, а также ограничение их распределения. Это поможет обеспечивать строгую отслеживаемость использования ключей.

Обеспечьте физическую защиту устройства хранения ключей в закрытом контейнере

  • Не оставляйте устройства хранения ключей на столах, в незапертых выдвижных ящиках или в таких местах, где посторонние могут получить доступ к ним или скопировать их.
  • Храните устройство хранения частных ключей в запертом выдвижном ящике стола, в шкафу или в другом месте с запираемыми дверцами.

Используйте надежный пароль для частного ключа.

Выбирайте надежный пароль для частного ключа. Пароль для передачи частного ключа должен состоять не менее чем из 16 (шестнадцати) случайным образом сгенерированных символов, включая буквы верхнего и нижнего регистра, цифры и символы. Не используйте слова из словарей, варианты идентификаторов пользователей, стандартные последовательности символов (напр, "123456"), имена собственные, географические объекты, стандартные акронимы, сленговые слова, имена и дни рождения членов семьи и т. д.

Безопасное хранение частного ключа

Обеспечьте безопасное хранение частного ключа с использованием сертифицированного криптографического устройства FIPS 140-2 уровня 2. Экспорт частного ключа этими криптографическими устройствами не допускается. В большинстве из этих устройств используется многофакторная аутентификация.

Тестовый сертификат подписи в сравнении с разблокирующим сертификатом подписи

Microsoft рекомендует использовать отдельный тестовый сертификат подписи для подписывания кода предварительного разблокирования. Тестовый сертификат подписи должен использоваться только в среде тестирования. Тестовые сертификаты подписи могут быть самоподписывающимися или выдаваться внутренними тестирующими ЦС.

Дополнительная информация

Подробную информацию Microsoft предоставляет в документе с практическими рекомендациями по подписыванию кодов.