近日,CA/B论坛对代码签名证书私钥做出了变更要求:证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。此次变更旨在增强保护代码签名证书私钥。
本次代码签名基线要求(CSBR)解决了EV代码签名和OV代码签名证书的颁发问题。在此之前,CA/B论坛对EV代码签名和OV代码签名证书有不同的私钥保护要求。例如,EV代码签名证书是存储在Ukey中寄送到用户手中,而非EV代码签名(即OV代码签名)的密钥对可以在软件中生成,这就很容易导致私钥被分发,从而增加了私钥泄露的潜在风险。
代码签名证书私钥变更要求
从 2022 年 11 月 15 日起,代码签名证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。这就意味着不论OV代码签名还是EV代码签名证书,他们的密钥对都需在一个硬件设备中生成,且不支持导出私钥。无疑,这将有助于最大限度地降低私钥泄露的可能性。
(CAB论坛 Ballot CSC-13截图)
因为代码签名证书跟软件开发者关系较大,所以软件开发商、分发商等相关人士可以提前了解这个资讯。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。