|
Центры сертификации имеют набор стандартизированных политик выдачи и управления, разработанных специально для подписи кода. Требования подробно описывают политики ЦС, включая такие темы, как содержание сертификатов, отзыв и проверка статуса, методы проверки и многое другое.
Компромитация ключей
Согласно CASC , одной из основных причин атак с использованием подписи кода является
компромитация ключей. Злоумышленник получает доступ к закрытому ключу законного, «хорошего» издателя и использует
его для подписи вредоносного файла, что делает его надежным и повышает вероятность его загрузки. Хранение ключей
на защищенном криптографическом оборудовании, таком как USB-токен или аппаратный модуль безопасности (HSM),
значительно снижает вероятность компрометации ключа по сравнению с локальным хранением ключей.
Согласно новым правилам, сертификаты подписи кода должны храниться на оборудовании, таком как флэш-накопитель,
SD-карта или USB-токен, соответствующий FIPS 140-2
Стандартизированная и строгая проверка личности
Согласно CASC, другой основной причиной атак с использованием подписи кода является выдача сертификатов вредоносным
издателям, которые затем используют этот сертификат для подписи вирусов или вредоносных программ.
Чтобы предотвратить это, в требованиях изложены конкретные меры предосторожности, которые должны предпринять ЦС
перед выдачей, в том числе:
Сообщение и ответ на неправильное использование сертификата или подозрительный код
Помимо попыток предотвратить выдачу сертификатов центры сертификации работают с системой «Сообщения о
проблемах с сертификатами», с помощью которой третьи стороны, например, организации, занимающиеся защитой
от вредоносных программ, проверяющие стороны, поставщики программного обеспечения, могут сообщать
о «подозрении на компрометацию закрытого ключа, неправильное использование сертификатов, сертификаты,
использованные для подписи подозрительного кода, атак на поглощение или других видах возможного мошенничества,
компрометации, неправильного использования, ненадлежащего поведения или любых других вопросов,
связанных с сертификатами». Центры сертификации придерживаются очень строгих стандартов в отношении того,
как реагировать на эти сообщенные проблемы. Например, они должны начать расследование в течение 24 часов
и поддерживать круглосуточную связь о любых инцидентах. Существуют также строгие руководящие принципы и
сроки в отношении отзыва, в случае подозрения на вредоносное ПО или другое злоупотребление.
Это означает, что даже если злонамеренный издатель проходит через процесс проверки, его сертификат может быть
быстро сообщен, исследован и отозван.
Все центры сертификации должны предлагать метки времени
Еще одно новое требование , заключается в том, что теперь все центры сертификации должны использовать
RFC-3161-совместимый орган отметки времени (TSA), который доступен для всех клиентов, подписывающих код.
Это означает, что доверенная временная метка может быть включена в каждую подпись.
Основным преимуществом этого является то, что срок действия подписи не истечет, когда сертификат истекает,
что обычно происходит без отметки времени. Вместо этого подписи могут оставаться действительными в течение
всего срока действия сертификата метки времени, который может достигать 135 месяцев, как указано в требованиях.
Другим сценарием, который извлекает выгоду из отметки времени, является случай компрометации ключа и
последующего отзыва сертификата. Например, если ваш ключ использовался для подписи легитимного кода,
но затем был скомпрометирован и использован для подписи вредоносного кода, вы можете установить дату
отзыва между двумя событиями. Таким образом, ваш законный код будет по-прежнему заслуживать доверия,
а вредоносный код - нет.