Možnosti uloženia Code Signing EV certifikátu

Code Signing EV certifikát musí byť vždy uložený na bezpečnom tokene, ktorý je predpokladom jeho dôveryhodnosti. Uloženie na tokeny navyše znemožňuje jeho zneužitie, pretoze je chránený heslom a privátny kľúč nie je možné exportovať. Predstavujeme možnosti uloženia Code Signing EV certifikátov, ktore môžu naši zákazníci využiť.

Uloženie na HW token

Najčastejší spôsob uloženia Code Signing EV certifikátu. V súčasnosti CA používajú token SafeNet 5110, ktorý získate k certifikátu zadarmo. Ten umožňuje uloženie aj iných certifikátov a zabezpečuje ich efektívnu ochranu proti krádeži.

Certifikáty sú spolu s privátnymi kľúčmi uložené na tokeny a privátne kľúče nie je možné exportovať. Pre prácu s certifikátu je nutné token odomknúť heslom; po 10 nesprávnych zadaniach hesla sa token zamkne a stane nepoužiteľným. Brute-force útoky na uhádnutie hesla sú teda vylúčené.

Technické špecifikácie tokenu nájdete na webe výrobcov Alebo v produktovom liste

. Je podporovaný v OS Windows Server 2008/R2, Windows Server 2012 and 2012 R2, Windows 7, Mac OS, Linux, Windows 8 a Windows 10. Pripája sa pomocou štandardného USB portu (USB type A) a pamäť pre kľúče predstavuje 80k. Spĺňa ISO 7816-1 až 4.

SafeNet token 5110

Uloženie na HSM (Hardware Security Module)

Zariadenie nazvané HSM je špecializovaný hardvér na uloženie kľúčov, certifikátov alebo iných kryptogracických informácií ( Wikipedia ). HSM funguje ako server a často ako ako rackový server vyzerá.

Ak Vaša organizácia disponuje týmto špecializovaným hardwarom, tak ho može využiť na uloženie Code Signing (a samozrejme ostatných) certifikátov namiesto tokenu a zjednodušiť (či zautomatizovať) si tak proces podpisovania.

Možnosť uloženia na HSM je súčasťou objednávky DigiCert SK EV certifikátu . Počítajte s tým, že ak túto možnosť zvolíte, tak CA DigiCert bude chciet doložiť, že vlastníte skutočne bezpečné a auditované zariadenie.