Contact Us
Header-Banner

Certificados de firmas de códigos y protección de claves

Ícono de certificación

La firma de códigos emergió como un ingrediente esencial al hacer negocios para virtualmente toda organización que distribuye un código para socios y clientes. La firma de códigos verifica quién es el desarrollador de un conjunto específico de código y atestigua que no se haya modificado desde la firma. Los certificados entregados junto con el software que ha sido firmado son un modo clave para los usuarios de determinar si el software se origina en una fuente legítima antes de su instalación.

Actualmente, muchos mercados informáticos, incluso las tiendas de aplicaciones móviles, requieren códigos para cumplir con los requisitos de firma digital específicos. Si el código no cumple con estos requisitos, los usuarios deben aceptar antes de la instalación un mensaje como un alerta de «desarrollador desconocido» u otro mensaje. Para los desarrolladores de software legítimos, tener clientes que reciban este mensaje puede crear problemas significativos.

La firma de códigos también se utiliza ampliamente entre los fabricantes de dispositivos que deben actualizar el firmware y software de los dispositivos en el campo.

Vulnerabilidad y arquitectura de la firma de códigos

Las arquitecturas de firma de códigos están compuestas de varias facetas clave, que incluyen:

  • Tecnología de infraestructura de clave pública (PKI) que se usa para crear una firma digital.

  • La firma digital se basa en una clave privada y en contenidos de un archivo de programa.

  • Al distribuir su código, el desarrollador incluye la firma con el archivo o en un archivo de catálogo relacionado.

  • Al recibir el código firmado, los usuarios o dispositivos combinan el archivo, el certificado y la clave pública relacionada para verificar la identidad del firmante y la integridad del archivo.

Ícono púrpura de clave criptográfica

En entornos de firmas de códigos, existe una vulnerabilidad crítica: las claves privadas. Cualquier persona que pueda acceder a la clave privada de un propietario legítimo de certificado puede crear software que parezca estar firmado por esa organización. Numerosas infracciones han utilizado certificados fraudulentos de firmas de código para causar daños significativos a la reputación y al negocio del propietario.

Para asegurar en forma efectiva las claves privadas utilizadas en la firma de códigos, es fundamental que las organizaciones aprovechen los módulos de seguridad de hardware (HSM). Las claves almacenadas en servidores o en otros sistemas son demasiado susceptibles a los peligros y al acceso no autorizado. El almacenamiento de claves en HSM (módulos de seguridad de hardware) sólidos e inviolables pueden eliminar estos riesgos

Los módulos de seguridad de hardware (HSM) de SafeNet abordan varios requisitos críticos para la firma segura de códigos:

  • Generación y almacenamiento seguros de claves

  • Alta disponibilidad y fiabilidad

  • Rendimiento y escalabilidad

  • Soporte para ECC (criptografía de curva elíptica)

  • Controles sólidos de acceso administrativo

  • Gobierno y cumplimiento

Vea detalles del producto HSM Solicite más información sobre la firma de códigos
CTA HSM Critical Risk Mgmt WP
Breach Level Index Site