De todas as variações de comprometimento de chave PKI, o comprometimento de chave para a assinatura de código é, sem dúvida, o pior. Uma chave de Assinatura de Código é o que os desenvolvedores de software usam para assinar seus programas e atualizações. Ao assinar o software, o desenvolvedor está fornecendo uma demonstração criptográfica de que o programa é autêntico, e que está intacto (não foi adulterado).
Nossos dispositivos - nossos computadores, tablets e telefones celulares - são projetados para confiar nessas assinaturas e, por extensão, nos softwares ou atualizações aos quais são afixados. Quando, no entanto, um software malicioso é distribuído com assinaturas confiáveis, o caos se inicia. Se uma chave de assinatura de código for comprometida, ela permite que um agressor assine um malware e nossos dispositivos confiarão nele, o executarão e serão vítimas do que quer que seja seu objetivo final - seja uma invasão de alto perfil de rede, ou apenas roubar a potência da CPU para a mina Bitcoin.
Então, como você compromete uma chave? Na realidade isto ocorre, frequentemente, devido ao proprietário legítimo da chave privada falhar em protegê-la adequadamente (e é por isso que os Certificados de Assinatura de Código precisam ser protegidos com hardware criptográfico adequado). Mas há também a opção de "força bruta" de uma chave, adivinhando o seu valor. Uma chave criptográfica RSA resume-se apenas a uma série de 1s e 0s. Uma chave de 2.048 bits é uma série de 2.048 1s e 0s. Adivinhar o valor se torna exponencialmente mais difícil com cada bit que você adiciona. Portanto mais longo equivale, geralmente, a uma maior segurança.
É por isso que, levando em conta os recentes comprometimentos de assinatura de código, o Fórum CA/B exigiu que todas as chaves de assinatura de código fossem alongadas para melhorar sua segurança. Assim, a partir de 31 de maio de 2021, todas as chaves de Code Signing da GlobalSign serão agora emitidas com 4.096 bits de comprimento. Isso inclui renovações e reemissões, também.
Mudanças no Code Signing EV
A Assinatura de Código de Validação Estendida (EV) fornece o mais alto nível de autenticação para assinantes e dá um impulso à reputação com o filtro Microsoft SmartScreen. Um dos requisitos para Certificados de Assinatura de Código EV é que a chave de assinatura deve ser armazenada em um token físico ou em um HSM. Como consequência às mudanças no comprimento da chave mencionadas acima, os tokens utilizados deverão ser compatíveis com chaves de 4.096 bits.
Infelizmente, os tokens Safenet 5110 FIPS que têm sido usados historicamente para armazenar certificados de assinatura de código EV NÃO são compatíveis com as novas chaves de assinatura mais longas. Como resultado, qualquer pessoa que re-emita ou venha renovar o seu Certificado de Assinatura do Código EV deverá usar um token atualizado - o Safenet 5110 CC (940).
Atualizações de nossas URLs de Code Signing Timestamping
O Timestamping (carimbo de data/hora) é um componente crítico da Assinatura de Código. Embora tecnicamente opcional, o timestamping mantém as assinaturas criptográficas feitas por sua chave válida perpetuamente. Sem um timestamping, as assinaturas deixam de ser confiáveis quando o certificado associado com a chave de assinatura perde a sua validade (dentro de três anos).
De acordo com as novas exigências em torno da Assinatura do Código, a GlobalSign fará atualizações em seus serviços de timestamping. Criamos um novo URL R6 TSA, bem como um novo URL R3 para substituir nosso URL antigo. Os clientes da TSA devem migrar para os novos URLs de timestamping de assinatura de código listados abaixo até 1º de junho de 2021. Recomendamos que todos os clientes mudem para o novo URL da R6 TSA.
A partir de 1º de junho de 2021, os URLs de timestamping anteriores que impulsionaram a raiz R3 serão descontinuados e os clientes não poderão mais utilizá-los para assinar.
Como sempre, queremos agradecer àqueles que já escolheram a GlobalSign como seu fornecedor de certificados de assinatura de código. Se você tiver alguma dúvida ou preocupação, por favor, entre em contato com a nossa equipe de suporte. Teremos o maior prazer em ajudá-lo.
