零信技术的 零信任五大原则 之一是“不信任无可信身份的应用软件,只信任有可信数字签名和时间戳的应用软件”,这个原则是保护电脑系统安全的有效原则,Windows对没有数字签名的软件零信任。因为没有数字签名就无法证明软件开发商的真实身份,无法保证软件是否是恶意软件。当然,有了数字签名也不能保证不是恶意软件,所以,Windows仍然会进一步检查是否是恶意软件。Windows提供SmartScreen信誉积累机制来给每个有数字签名的软件开发商一个积累信誉的机制,如果想即刻获得可信信誉,则需要软件开发商使用EV代码签名证书数字签名代码,已签名软件即刻获得信誉而顺利安装。
这个始终验证软件开发商身份的机制就零信任安全机制,能有效保障Windows操作系统安全,当然也能有效保障各种国产操作系统安全。这个签名验签机制也非常适合于所有OTA空中升级软件,只信任通过HTTPS加密通道下载的有可信数字签名的升级包,才能有效保证设备系统的软件升级安全!同时,为了证明代码签名时间可信,在代码签名时还必须副署时间戳签名,这是对软件代码的生成时间和发布时间的零信任,只有加上了时间戳签名,并且每次在运行软件代码时始终验证时间戳签名,才能保证即使代码签名证书过期但其代码签名仍然能有效证明其可信身份。
实现软件代码数字签名当然必须有代码签名证书,而为了保护代码签名证书的私钥安全,从2023年6月1日起,所有类型代码签名证书都必须采用通过FIPS 140-2 第二级或通用标准 EAL 4+的USB Key或HSM(硬件加密模块)来保护证书私钥安全,不再支持软密钥代码签名证书。CA在完成用户身份鉴证后,在合规的USB Key中生成私钥和导入证书,再从美国或欧洲快速USB Key硬件给用户,一般都需要10-15天时间,这是用户遇到的第一个难题:等!不仅仅是要等,还要支付高达50美元的运费!
第二个难题是不断缩短的代码签名证书有效期,现在是3年有效期,2026年3月1日缩短为一年零3个月(15个月)有效期,也就是说从2026年3月开始只能购买一年期证书,每年都要花钱从美国快递USB Key,每年都要等收到硬件UKey证书才能签名代码,如果软件有Bug,急需更新发布版本怎么办?这是用户遇到的第二个难题:不仅要等,而且每年都要等一次!
这个不断缩短代码签名证书有效期的步伐也可以从SSL证书中看到:2029年3月15日将缩短为47天,可以预见的是代码签名证书有效期也一定会不断缩短的,不会停留在一年期中 ,这是因为传统密码算法RSA/ECC/SM2无法抵御量子计算攻击,使得代码签名机制来保障软件代码的可信身份不再有效,目前的解决方案是不断缩短证书有效期来缩短攻击窗口,同时积极推进后量子密码算法实现数字签名。
零信技术也是代码签名证书的用户,因为零信浏览器会定期发布版本,有大量的代码需要数字签名,所以我们深知软件开发商的代码签名痛处。应用安全是零信技术规划的五大零信任+密码技术解决方案之一,在完成了最重要的网站安全解决方案后,零信技术投入研发力量,完美解决了代码签名面临的两个难题。
我国生产的大量的电脑硬件产品都需要通过微软徽标认证,也就是微软Windows硬件开发者计划,该计划指定了6家CA机构为用户签发EV代码签名证书,这6家CA机构4家在美国、2家在欧洲,这就是用户需要等待从美国或者欧洲快递USB Key证书的原因。要想解决第一个等的难题,解决方案有两个:为用户提供代码签名云服务,或者 让CA机构同意使用国产USB Key,从中国给用户快递USB Key。零信技术解决方案就是从这两个方面着手解决难题,而不是简单的代理销售国外CA的代码签名证书。
目前已经有国际CA机构为用户提供代码签名云签服务,用户不用等从国外快递USB Key,完成身份鉴证签发代码签名证书后即刻就可以签名软件代码。但是这些代码签名云服务存在如下3个方面的问题:
零信技术代码签名云服务彻底解决这些难题,主要特色有:
零信代码签名云服务不仅解决了用户不得不等国外快递Ukey难题,而且还同时解决了不断缩短的代码签名证书有效期的难题,无论将来缩短有效期到多少天,用户只需关心云签名服务有效期,在购买的服务有效期内,用户不用管证书有效期,零信云签名服务系统会按期自动化完成证书更新,保证用户服务有效期内有证书可以签名。这就完美解决了代码签名应用的两大难题。
零信代码签名云服务遵循国际云签名联盟发布的云签API标准,不仅有力保障了云签服务质量,更重要的是为有开发能力的用户提供了基于国际标准的API接口,方便用户集成代码签名自动化服务到其代码自动化管理系统中。
对于仍然习惯采用USB Key证书实现本地签名的用户,零信技术也有比其他家更好的解决方案,用户不用等从国外快递USB Key证书,直接从深圳顺丰快速国产USB key证书,最快当天能送达使用。
零信技术联合CA机构和国产USB Key厂家严格测试USB Key符合国际标准相关要求,让代码签名证书可以直接采用国产UKey,并且是一直都可以用,代码签名证书过期后不用再快递Ukey,直接用同一个Ukey续期证书即可,不像其他CA每次续期都必须从国外快递新的Ukey而浪费用户的费用和无法马上续期使用。零信技术方案是让证书续期马上可用,不用等Ukey快递送达。
代码签名是保障软件身份可信,保障操作系统安全的最有力的技术手段。但是,目前国产操作系统还没有实现同Windows一样的统一标准的多重代码签名验证机制,也没有出台统一的代码签名标准,零信技术计划参考微软Windows的代码签名机制和各家国产操作系统的代码签名实践,为用户提供双算法代码签名服务,让每一次签名都是双算法双签名和双算法双时间戳签名,这样,Windows验证RSA/ECC算法数字签名和时间戳,国产操作系统则可以验证SM2算法数字签名和时间戳。
而为了应对量子计算对传统密码算法数字签名的安全威胁,零信技术也正在跟踪国际标准,计划第一时间为用户提供传统密码算法(RSA/ECC/SM2)和后量子密码算法(ML-DSA)的混合签名方案,使得不支持PQC算法的系统验证传统密码算法数字签名,而支持PQC算法的系统则验证PQC算法签名,有力保障了软件代码在量子时代的持续安全有效。
以上两个方面的代码签名增值服务将完全免费,持续保障用户的软件代码的持续安全,欢迎选用不一样的零信应用安全解决方案。