首页>安全资讯>代码签名证书安全要求6.1日起发生变化

代码签名证书安全要求6.1日起发生变化

全球代码签名证书即将发生变化。CA/B论坛强制要求,从2021 年6 月1 日开始,代码签名证书的最小密钥大小将从2048 位增加到3072 位。这个举措旨在提高证书安全性能,为未来技术发展带来的计算能力提升做更好的准备。

代码签名证书是提供给软件开发者,对其开发的应用程序、驱动程序、可执行文件还是其他程序产品进行数字签名数字证书。签名作为一种手段,是为了让最终用户验证他们正在下载和安装的产品真实来自软件的创建者,并且代码在传输过程中没有被病毒、恶意代码和间谍软件所侵害。

去年我国全年市场上检测到的各类软件应用程序数量就有不下上千万款,在各类大小软件扎堆开发、流氓软件横生的环境下,怎么来证明我们要下载的这些软件是安全可信任的?这个时候就需要代码签名证书来进行证明真实性和保护安全性。关于“代码签名”的详细应用知识,大家可以点开《纯干货·你想了解的“代码签名”都在这里》进行阅读。我们继续往下说。

回到我们的正题,因为代码签名证书的签名可以在好几年的时间内有效,在这几年当中我们一般不会去修改其中的算法技术部分。但是,我们无法阻挡往后更多网络技术的发展可能会使这些较旧、较弱的加密密钥容易受到攻击。因此,为了使这些签名算法足以抵挡未来可能发生的一些攻击,只能强制采取增加代码签名证书使用的最小密钥长度来得以实现。

那么,密钥长度是什么意思呢?这种变化究竟意味着什么?这会不会对我们当前和未来使用的证书产生什么影响呢?

让我们一个个来分析一下。

什么是密钥长度?

在我们深入了解密钥长度变化的细节之前,让我们先快速了解一下密钥长度的含义、密钥的用途以及它们的强度如何随时间变化。

密钥长度是证书相关密钥对中的位数(用于签名和加密等功能)。基本上,它设置了算法安全性的上限,更大位数的密钥意味着数字签名更强。任何算法理论上都可以被足够强大的计算机病毒攻击破解,而密钥长度的增加意味着破解它所需的处理能力也会上升。

这种密钥长度的增加也不是线性的——例如,当RSA 密钥的大小加倍时,相关的解密任务将呈指数级变慢。因此,理想情况下,所需的最小密钥长度应该足够长,以至于它需要一定程度的计算能力,而现实中尚不存在这种能力来对其进行强力破解。

毕竟,有许多软件产品在发布之后可以被广泛使用好些年,有的甚至十几年几十年。如果攻击者在等待处理器技术的改进,然后最终暴力破解这些原先安装的代码签名证书,然后他们就可以在没有人知道的情况下恶意篡改应用程序,这肯定不是一件好事。所以这就是最新密钥长度变化背后的主要动机——使我们当前数字签名的安全性能在未来几年后仍然能够保持不变。

代码签名密钥长度的变化究竟是什么?

现在(6 月1 日之前)代码签名证书的最小密钥长度是2048 位。目前,2048 位RSA 密钥被认为是安全的,而再往前的1024 位密钥即被认为不足够安全。8 年前,SSL证书的密钥长度要求从1024位跃升至2048位。一般认为,2048位密钥在五到十年之间安全性不会削减。

美国国家标准与技术研究院(NIST)于去年5月发布了NIST SP 800-57,主要内容是建议在2030年之后不再使用2048位RSA密钥。

证书颁发机构浏览器论坛由证书颁发机构、浏览器和操作系统供应商以及其他与PKI 相关的应用程序供应商组成,负责密钥长度的更改。在分析了NIST 的建议后,他们在2020年初投票决定继续增加密钥长度,经过几次延迟(主要是让供应商有更多时间更新他们的基础设施,从而能够发布新的3072 位证书)后,决定在2021年6月1日起实施。

沃通代码签名证书已完成升级

沃通代码签名证书合作机构DigiCert将提前至5月27日完成更改。从2021年5月27日起,DigiCert将采用RSA 3072位或以上密钥长度用于签发代码签名证书,密钥长度的要求适用于整个证书链(根证书-中级根-用户证书),但ECC不受影响。

之前购买沃通代码签名证书的用户会受影响吗?

5月27日前签发的代码签名证书都不受影响,直到证书自然到期为止;

在这之后新签发、续费签发、重新签发的代码签名证书,将自动从新的中级证书和根证书签发;

现在起,所有代码签名证书都要求提交RSA 3072位或以上密钥长度的CSR(证书请求文件)。EV代码签名证书的硬件存储设备(USB Key或者HSM)要求支持RSA 3072位或以上密钥长度。

如何查看代码签名证书的密钥长度?

找到一个应用程序的安装包,安装包里的快捷键,右键单击它,然后选择“属性”。然后,转到“详细信息”选项卡,会看到一个显示“公钥”的字段。它应该说“RSA”,然后在括号中包含以位为单位的特定密钥长度,以沃通代码签名精灵为例,如下所示:

代码签名证书安全要求6.1日起发生变化 第1张 代码签名证书安全要求6.1日起发生变化 第2张 代码签名证书安全要求6.1日起发生变化 第3张

保护代码的关键

虽然密钥长度的升级不是一个很重要的变化,但它始终要对最终用户负责。软件开发人员需要了解这一变化,尤其是在更新现有的代码签名证书时。其余的工作就由证书颁发机构和操作系统供应商在幕后完成。总而言之,为提高安全性,请按照我们以上的要求操作。

往期同类文章请关注“国密应用研究院”公众号:

代码签名证书安全要求6.1日起发生变化 第4张

最新资讯

沃通SSL证书OCSP本地化部署,为HTTPS加密提速

20%的恶意网站未列入黑名单,用户如何防范?

警惕东京奥运会门票虚假倒卖网站,用EV SSL证书反钓鱼

2019年电子邮件攻击造成17亿美元损失

Poloniex加密货币交换泄露数据,建议数据安全从SSL证书做起

标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书