Contact Us
Header-Banner

Certificats de signature de code et protection de clés

Certification

La signature de code s'est imposée comme un élément incontournable de l'activité de toute organisation distribuant du code à ses clients et partenaires. La signature de code vérifie l'identité de l'émetteur d'un jeu de codes spécifique, et atteste qu'il n'a pas été modifié depuis sa signature. Les certificats fournis avec le logiciel signé offrent un moyen important pour les utilisateurs de déterminer si le logiciel provient bien d'une source légitime avant de l'installer.

Aujourd'hui, de nombreux sites de vente de logiciels, y compris les boutiques d'applications mobiles, doivent s'assurer que leur code est conforme à certaines exigences de signature numérique. Si le code ne répond pas à ces exigences, les utilisateurs doivent valider une alerte « éditeur inconnu » ou un autre message avant de procéder à l'installation. Pour les développeurs de logiciels légitimes, l'apparition de ce type de message sur l'écran de leurs clients peut être très dommageable.

La signature de code est également largement utilisée par les fabricants d'équipements qui ont besoin de mettre à jour le microprogramme et le logiciel des dispositifs déjà vendus.

Architecture de signature de code et vulnérabilité

Les architectures de signature de code présentent plusieurs aspects essentiels :

  • L'infrastructure à clé publique (PKI) sert à créer une signature numérique.

  • La signature numérique est basée sur une clé privée et le contenu d'un fichier programme.

  • Lorsqu'il distribue son code, le développeur groupe la signature avec le fichier ou un fichier catalogue associé.

  • Dès réception du code signé, les utilisateurs ou leurs appareils combinent le fichier, le certificat et la clé publique associée pour vérifier l'identité du signataire du fichier et l'intégrité du fichier.

Clé de chiffrement violette

Les environnements de signature de code présentent une vulnérabilité: les clés privées. Toute personne pouvant accéder à la clé privée du propriétaire d'un certificat légitime peut créer un logiciel qui apparaîtra comme étant signé par cette organisation. De nombreuses failles ont exploité des certificats de signature de code frauduleux pour nuire à la réputation et à l'activité du propriétaire du certificat.

Pour protéger efficacement les clés privées utilisées dans la signature de code, les organisations doivent impérativement utiliser des modules matériels de sécurité (HSM). Les clés stockées sur des serveurs et autres systèmes sont trop exposées aux risques et aux accès non autorisés. Pour remédier à ce problème, les clés doivent être conservées dans des HSM robustes et résistants aux intrusions

Les HSM SafeNet répondent à certains besoins clés en matière de protection de la signature de code :

  • Génération et stockage protégés des clés

  • Disponibilité et fiabilité élevées

  • Performances et évolutivité

  • Gestion du chiffrement ECC (elliptic curve cryptography)

  • Contrôles renforcés d'accès d'administration

  • Gouvernance et conformité

Voir le détails des produits SafeNet HSM Demander des informations complémentaires sur la signature de code
CTA HSM Critical Risk Mgmt WP
Breach Level Index Site