Turvaa Ohjelmistot

Ota ohjelmistot tietoturvallisesti käyttöön

Allekirjoita koodi varmenteella

Tuottaako yrityksesi ohjelmistoja? Jos kyllä, tarvitset Code Signing -varmenteita, joiden avulla koodi allekirjoitetaan. Kun käyttäjä on asentamassa uutta ohjelmaa tietokoneelleen, asennusohjelmisto tarkistaa, onko koodi allekirjoitettu Code Signing -varmenteella. Jos ei ole, saa käyttäjä varoituksen siitä, että ohjelmistokoodin tuottaja on tuntematon ja ohjelman asentaminen on riskialtista.

Kun ohjelmisto on allekirjoitettu OV- tai EV-tason koodin allekirjoitusvarmenteella, on luotettava kolmas osapuoli (CA) verifioinut koodin tuottavan organisaation. Asennettavan ohjelman allekirjoitus varmenteella takaa myös sen, että kukaan ei ole muuttanut salaa koodia. EV-tason varmenne antaa enemmän tietoa ohjelmiston tuottajasta ja sen saaminen edellyttää myös tarkempaa organisaation verifiointia.

Wesentra toimittaa asiakkailleen luotettavia Entrustin Code Signing -varmenteita. Entrustin portaalia käyttävät asiakkaat voivat tuottaa ne itse ja muille varmenne voidaan toimittaa Wesentran omasta portaalista.

Kaksi tapaa allekirjoittaa koodia

Sääntöjen mukaan Code Signing -varmenne tulee aina asentaa turvalliselle HSM-laitteelle (Hardware Security Module), jonka erityispiirre on, että sille asennettua salaista avainta voidaan vain käyttää, sitä ei voida siirtää tai kopioida HSM-laitteelta pois.

Ohjelmiston tuottajalla on kuitenkin erilaisia tapoja allekirjoittaa koodia:

1. Code Signing -varmenne voidaan toimittaa muistitikun tyyppiselle HSM-tikulle (USB), jolla sijaitsee myös varmenteen salainen avain. Tikku on hyvä säilyttää turvallisessa paikassa, esimerkiksi kassakaapissa. Kun ohjelmakoodi pitää allekirjoittaa, laitetaan HSM-tikku palvelimeen tai työasemaan, tikku avataan salasanalla ja koodi allekirjoitetaan. Wesentralla HSM-tikun toimitus kuuluu Code Signing -varmenteen hintaan.

2. Toinen tapa on asentaa Code Signing -varmenne pilvessä olevalle HSM-alustalle, esimerkiksi Azure Key Vault -ratkaisuun. Jos koodi tuotetaan pilvessä, on tämä parempi ratkaisu kuin HSM-tikun käyttäminen.