GlobalSign Blog

Änderungen der Schlüssellänge für Code Signing Zertifikate

Änderungen der Schlüssellänge für Code Signing Zertifikate

Von allen verschiedenen Varianten der Gefährdung von PKI-Schlüsseln ist das Risiko für Schlüssel von Code Signing Zertifikaten wohl am höchsten. Ein Code Signing-Schlüssel wird von Software-Entwicklern verwendet, um ihre Programme und Updates zu signieren. Durch das Signieren der Software zeigt der Entwickler kryptografisch, dass das Programm authentisch und intakt ist (es wurde nicht manipuliert).

Unsere Geräte - unsere Computer, Tablets und Mobiltelefone - sind so ausgelegt, dass sie diesen Signaturen und damit auch der Software oder den Updates, die mit ihnen versehen sind, vertrauen. Wenn jedoch Schadsoftware mit vertrauenswürdigen Signaturen verbreitet wird, entsteht Chaos. Wenn ein Code Signing-Schlüssel kompromittiert wird, kann ein Angreifer Malware signieren und unsere Geräte werden ihr vertrauen, sie ausführen und Opfer werden, egal welches Endziel sie hat - ob es sich dabei um einen hochkarätigen Netzwerk-Hack oder einfach nur um das Stehlen von CPU-Leistung zum Bitcoin-Mining handelt.

Wie kompromittiert man denn einen Schlüssel? In der Praxis liegt dies oft daran, dass der rechtmäßige Besitzer des privaten Schlüssels diesen nicht entsprechend sichert (weshalb Code Signing-Zertifikate auf einer geeigneten kryptografischen Hardware gesichert werden müssen). Es gibt aber auch die Möglichkeit, einen Schlüssel mit "Brute Force" zu knacken, also seinen Wert zu erraten. Auf seine einfachste binäre Form heruntergebrochen, ist ein RSA-Schlüssel nur eine Reihe von Einsen und Nullen. Ein 2.048-Bit-Schlüssel ist eine Zeichenfolge von 2.048 Einsen und Nullen. Das Erraten des Wertes wird mit jedem weiteren Bit exponentiell schwieriger. Länger bedeutet also generell sicherer.

Aus diesem Grund hat das CA/B-Forum angesichts der jüngsten Code Signing-Kompromittierungen angeordnet, dass alle Code Signing-Schlüssel verlängert werden müssen, um ihre Sicherheit zu verbessern. Daher werden ab dem 31. Mai 2021 alle GlobalSign Code Signing-Schlüssel jetzt mit einer Länge von 4.096 Bit ausgestellt. Dies gilt auch für Erneuerungen und Neuausstellungen.

Änderungen bei EV Code Signing

Extended Validation (EV) Code Signing bietet die höchste Stufe der Authentifizierung für Signierer und verbessert die Reputation im Microsoft SmartScreen-Filter. Eine der Anforderungen für EV Code Signing-Zertifikate ist, dass der Signaturschlüssel auf einem physischen Token oder in einem HSM gespeichert sein muss. Neben den oben genannten Änderungen der Schlüssellänge wird GlobalSign neue Token bereitstellen, die mit 4.096-Bit-Schlüsseln kompatibel sind.

Leider sind die Safenet 5110 FIPS-Token, die in der Vergangenheit zum Speichern von EV Code Signing-Zertifikaten verwendet wurden, NICHT mit den neuen, längeren Signaturschlüsseln kompatibel. Daher erhalten alle Kunden, die ihr EV Code Signing-Zertifikat neu ausstellen oder erneuern, einen aktualisierten Token für ihren Schlüssel - den Safenet 5110 CC (940).

Updates für unsere Code Signing Zeitstempel-URLs

Zeitstempel sind eine kritische Komponente von Code Signing. Obwohl technisch optional, hält der Zeitstempel die kryptografischen Signaturen, die von Ihrem Schlüssel erstellt wurden, auf Dauer gültig. Ohne einen Zeitstempel sind Signaturen nicht mehr vertrauenswürdig, wenn das mit dem Signierschlüssel verbundene Zertifikat abläuft (innerhalb von drei Jahren).

Gemäß den neuen Anforderungen rund um Code Signing wird GlobalSign Updates für seine Zeitstempel-Dienste vornehmen. Wir haben eine neue R6 TSA-URL sowie eine neue R3-URL eingerichtet, die unsere alte URL ersetzen. TSA-Kunden sollten bis zum 1. Juni 2021 auf die unten aufgeführten neuen Code Signing Zeitstempel-URLs umstellen. Wir empfehlen allen Kunden, auf die neue R6-TSA-URL umzusteigen.

Ab dem 1. Juni 2021 werden die bisherigen Zeitstempel-URLs, die die R3-Root nutzten, eingestellt und Kunden können sie nicht mehr zum Signieren verwenden. 

Wie immer möchten wir uns bei Allen bedanken, die GlobalSign bereits als Ihren Anbieter von Code Signing-Zertifikaten gewählt haben. Wenn Sie Fragen oder Bedenken haben, wenden Sie sich bitte an unser Support-Team.

Share this Post