Entrust Code Signing Gateway

Code Signing ist der Prozess des digitalen Signierens von Software oder Quellcode mit einer digitalen Signatur, um die Authentizität und Integrität des Codes zu bestätigen. Dadurch wird sichergestellt, dass der Code von einem verifizierten Softwarehersteller oder -entwickler stammt und seit seiner Signierung nicht verändert oder beschädigt wurde.

Das Signieren von Code ist entscheidend für Vertrauen und Sicherheit bei der Softwareverteilung. Seine wichtigsten Vorteile sind:

• Sicherstellung der Code-Integrität: Durch das Signieren des Codes wird sichergestellt, dass der Code nicht manipuliert wurde und seine Integrität während des gesamten Verteilungsprozesses gewährleistet ist.
• Authentifizierung des Herausgebers: Durch digitale Zertifikate wird die Herkunft der Software bestätigt und die Identität des Softwareherstellers oder -entwicklers überprüft.
• Schutz vor bösartigem Code: Unbefugte Änderungen und das Einschleusen von Malware werden verhindert und die Benutzer so vor potenziellen Bedrohungen geschützt.
• Compliance und Vertrauen: Viele Plattformen, z. B. Betriebssysteme und Browser, erfordern für die Installation oder Ausführung signierten Code, um die Compliance zu gewährleisten und das Vertrauen der Endbenutzer zu stärken.

Das Verfahren funktioniert wie folgt:

• Schlüsselerstellung: Der Software-Entwickler oder -Herausgeber erstellt kryptografische Schlüssel, einen privaten und einen öffentlichen. Das Unternehmen reicht den öffentlichen Schlüssel bei einer Zertifizierungsstelle (CA) ein und beantragt ein Code-Signing-Zertifikat.
• Erwerb des Zertifikats: Die Zertifizierungsstelle prüft die Identität des Softwareherausgebers und beglaubigt die digital signierte Zertifikatsanforderung des Herausgebers.
• Digitale Signatur: Mit Hilfe eines Signierwerkzeugs wendet der Entwickler seinen privaten Code-Signierschlüssel auf die Software oder den Quellcode an. Dadurch wird eine digitale Signatur erstellt, die die Software mit der Identität des Entwicklers verbindet.
• Verteilung: Wenn der signierte Code verteilt wird, können Endbenutzer oder Systeme seine Authentizität und Integrität anhand des öffentlichen Schlüssels, der in das digitale Zertifikat eingebettet ist, überprüfen. Dies bestätigt, dass die Software nicht verändert oder mit bösartigem Code infiziert wurde.

Ein Code-Signing-Zertifikat ist eine Art digitales Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird und die Identität eines Softwareherstellers oder -entwicklers verifiziert. Es spielt eine entscheidende Rolle im Prozess der Codesignierung, weil es bestätigt, dass der signierte Code aus einer vertrauenswürdigen Quelle stammt, und so die Nachahmung durch böswillige Akteure verhindert.

Es gibt zwei Arten von Code-Signing-Zertifikaten: OV und EV. Sie unterscheiden sich in ihren Validierungsprozessen, Sicherheitsmerkmalen und Vertrauensstufen.

• Unternehmensvalidierung (Organization Validation, OV): Ein OV-Zertifikat validiert die Identität der Organisation mithilfe von Standardprüfungen und ermöglicht die Speicherung privater Schlüssel auf dem System des Entwicklers. Es eignet sich für kleinere Unternehmen oder interne Anwendungen und bietet ein grundlegendes Maß an Vertrauen.
• Erweiterte Validierung (Extended Validation, EV) Ein EV-Zertifikat erfordert eine strenge Prüfung, einschließlich physischer und betrieblicher Prüfungen. Private Schlüssel werden hierbei auf fälschungssicheren Geräten wie einem USB-Token gespeichert. EV bietet höhere Vertrauensstufen, umgeht SmartScreen-Warnungen und eignet sich ideal für weit verbreitete oder bekannte Software.

Ein Code-Signing-Dienst vereinfacht den digitalen Signierprozess, indem er Unternehmen eine sichere Infrastruktur und Tools zum Signieren ihres Codes zur Verfügung stellt. Das ist besonders für Softwarehersteller und -entwickler von Vorteil, die ihren signierten Code schützen und gleichzeitig Compliance und Skalierbarkeit sicherstellen müssen.

Das Entrust Code Signing Gateway ist eine sichere, skalierbare Lösung zur Vereinfachung und Absicherung des Code-Signing-Prozesses für Unternehmen. Es hilft Softwareherstellern und -entwicklern, ihre Signierschlüssel und Zertifikate in einer zentralisierten, manipulationssicheren Umgebung zu verwalten.

Die wichtigsten Funktionen sind:

• Zentrale Schlüsselverwaltung: Schützt Signierschlüssel in einem sicheren Hardware-Sicherheitsmodul (HSM) und gewährleistet so, dass kryptografische Schlüssel sicher und unter der Kontrolle des Unternehmens bleiben. 
• Optimierter Code-Signing-Betrieb: Automatisiert den Signierprozess durch Richtlinien und Workflows, um Konsistenz und Effizienz in der Softwareentwicklung zu gewährleisten.
• Höhere Sicherheit und Compliance: Stellt sicher, dass die Verfahren zum Signieren von Code Sicherheitsstandards und gesetzlichen Anforderungen entsprechen, z. B. denen zum Schutz vor bösartigem Code. 
• Integration in DevOps-Pipelines: Unterstützt die nahtlose Integration in moderne Softwareentwicklungsabläufe und ermöglicht sicheres Code Signing ohne Unterbrechung des Betriebs.

Mit dem Entrust Code Signing Gateway können Unternehmen ihre Signierschlüssel schützen, die Integrität ihres signierten Codes sicherstellen und durch authentifizierte und verifizierte Software Vertrauen bei den Endbenutzern aufbauen.