共计 492 个字符,预计需要花费 2 分钟才能阅读完成。
近日,CA/ B 论坛对代码签名证书私钥做出了变更要求:证书密钥对必须在达到 FIPS 140-2 Level 2 或 EAL4+ 通用规范以及更高标准的硬件加密模块中生成并存储。此次变更旨在加强爱护代码签名证书私钥。
本次代码签名基线要求(CSBR)解决了 EV 代码签名和 OV 代码签名证书的颁发问题。在此之前,CA/ B 论坛对 EV 代码签名和 OV 代码签名证书有不同的私钥爱护要求。例如,EV 代码签名证书是存储在 Ukey 中寄送到用户手中,而非 EV 代码签名(即 OV 代码签名)的密钥对能够在软件中生成,这就很容易导致私钥被散发,从而减少了私钥泄露的潜在危险。
代码签名证书私钥变更要求
从 2022 年 11 月 15 日起,代码签名证书密钥对必须在达到 FIPS 140-2 Level 2 或 EAL4+ 通用规范以及更高标准的硬件加密模块中生成并存储。这 就意味着不管 OV 代码签名还是 EV 代码签名证书,他们的密钥对都需在一个硬件设施中生成,且不反对导出私钥。无疑,这将有助于最大限度地升高私钥泄露的可能性。
(CAB 论坛 Ballot CSC-13 截图)
因为代码签名证书跟软件开发者关系较大,所以软件开发商、散发商等相干人士能够提前理解这个资讯。
正文完
