Sichern Sie Ihr Code-Signing-Zertifikat in einem HSM & stellen Sie so die Integrität und Authentizität Ihrer Software und dazugehöriger Updates sicher.
Code Signing – Software und deren Updates sind nur mit einem HSM wirklich sicher
Warum Code Signing ein Grundpfeiler für Innovation ist
Wir vertrauen einen wachsenden Teil unseres Geschäfts und unseres Alltags Software-basierten (Cyber-physischen) Systemen oder Services an – vernetzte Autos, intelligente Energie-Verteilernetze oder elektronische Zahlungswege sind nur wenige Beispiele von vielen.
Das bietet jedoch Potenzial für Missbrauch. Cyberkriminelle setzen Malware ein, um Daten abzugreifen, geistiges Eigentum zu kopieren oder Geld zu erpressen. Malware muss daher auf jeder Ebene geblockt werden – man sollte keinen noch so hinterlistigen Angriff ausschließen. Kryptografisch abgesicherte „over-the-air“ (OTA) Software-Update-Prozesse stellen sicher, dass Codes unbeschadet und unverändert an der richtigen Stelle eintreffen. Dies setzt jedoch voraus, dass das Betriebssystem die Quelle seiner Code-Bibliothek kennt und unbekannte Software abweisen oder sofort deaktivieren kann. Auf diesem Weg sind Systeme und Informationen geschützt.
Die digitale Signatur oder speziell Code Signing ist die gängigste Methode, um die Herkunft einer Software zu garantieren. Code Signing ist daher wichtig, um
- ein Cyber-physisches System erstmalig zu implementieren und
- Updates zur Fehlerbehebung oder zur Funktionserweiterung („over-the-air“ Update) durchzuführen.
Code Signing – wie funktioniert das?
Um Manipulation zu verhindern, bewahrt der Software-Hersteller den privaten Schlüssel in einer streng überwachten Umgebung auf, z.B. in einem HSM. Bei Cyber-physischen Systemen wird der Schlüssel bei der Herstellung in das Gerät integriert. Ist eine Software bereit zum Einsatz, wird sie mit dem privaten Code-Signing-Schlüssel des Herstellers versehen und ausgeliefert. Jeder Empfänger ist nun in der Lage, die Integrität und Authentizität der Software zu verifizieren: Der öffentliche Schlüssel und die bereitgestellte digitale Signatur passen zusammen. Cyber-physische Systeme – das „Ding“ im Internet der Dinge – sollten jeden Code zurückweisen, dessen digitale Signatur sich nicht positiv verifizieren lässt.
Code Signing ist ein mächtiges Werkzeug, um Systemintegrität zu garantieren und Manipulation zu verhindern. Ein effektiver Einsatz setzt voraus, dass nur autorisierte Parteien Zugang zum (privaten) Code-Signing-Schlüssel eines Software-Herstellers haben. Software-Hersteller müssen den Zugang zu diesem Schlüssel so restriktiv handhaben wie zu ihren Bankkonten. Sollte der Verdacht aufkommen, dass das Zertifikat eine Sicherheitslücke aufweist, sollte es sofort deaktiviert und ersetzt werden. In diesem Fall ist auch der Code nicht mehr vertrauenswürdig und muss neu signiert werden – was für Embedded-Geräte in der Umsetzung eine Herausforderung ist. All das kann enorme Auswirkungen auf das Image oder die wirtschaftliche Lage eines Unternehmens haben. Utimaco HSM sind bestens geeignet, um eine hohe Sicherheit zu gewährleisten: Sie sind mit RSA- und ECDSA-Signaturfähigkeiten ausgestattet, bereits einsatzbereit vorkonfiguriert und somit für alle angewandten Schlüsselgrößen und Kurven einsetzbar.
- Für einen Software-Hersteller ist es gängige Praxis, den privaten Code-Signing-Schlüssel bzw. das Zertifikat immer in einem HSM aufzubewahren. Kopieren, stehlen oder verfälschen ist so ausgeschlossen.
- Eingesetzte Geräte “gehören” dem Inhaber des privaten Schlüssels welcher zum Signieren der Code-Bibliotheken genutzt wird. Das kann der Eigentümer des privaten Schlüssels sein oder eine Person oder eine Institution, die den Schlüssel kompromittiert haben.
HSM-Einsatz – warum eigentlich?
- Webbrowser und Betriebssysteme tendieren dazu, die Verifizierung der Software automatisch vorzunehmen. Ist sie erfolgreich, wird die Software stillschweigend installiert und gestartet. Ist sie hingegen nicht erfolgreich, erhält der Anwender eine Warnung mit der Aufforderung, die Software besser nicht zu nutzen. In PC-Umgebungen können Anwender diese Warnung möglicherweise ignorieren und die Software dennoch nutzen.
- Mobile Geräte fordern in der Regel, dass Software-Entwickler ihre Apps oder Updates an die Inhaber der App Stores zur Signatur übergeben (Apple, Google, Microsoft), bevor sie im Store angeboten werden. In solchen Fällen ist das Gerät (z. B. iPhone oder Android-Mobiltelefon) mit dem öffentlichen Schlüssel des App Stores ausgestattet. Innerhalb des Prozesses wird das zugehörige Signatur-Zertifikat einschließlich privatem Schlüssel vom Shop-Eigentümer verwaltet. Der App-Store-Betreiber verlangt anschließend die Signatur des Software-Herstellers mit dessen privatem Schlüssel. Auf diesem Weg kann eine komplette Vertrauenskette zwischen Software-Hersteller und dem App Store sowie dem App Store und dem Gerät hergestellt werden.
- Der zugehörige öffentliche Schlüssel wird dem Software-Anwender zur Verfügung gestellt. Für PC-Software oder Browser-Anwendungen erfolgt dies typischerweise mittels eines digitalen Zertifikats, signiert von einer renommierten Zertifizierungsstelle (Certificate Authority, CA).
- Im ersten Schritt muss ein Software-Hersteller zunächst ein Schlüsselpaar erhalten (generieren oder kaufen), um einen digitalen Signaturprozess durchzuführen. Der Schlüssel muss gut geschützt sein. Ein Missbrauch kann Dritte dazu ermächtigen, gefälschte Software zu signieren. Die Geräte im Einsatz würden diese dann als legitim einstufen.
- Eingesetzte Systeme können über die Fähigkeit verfügen, sich selbst unbeaufsichtigt über „over-the-air“ Updates zu aktualisieren. Hier ist besonders wichtig, automatisch die Integrität und Authentizität der Updates sicherzustellen. Denn in diesem Prozess gibt es nur eingeschränkte Überprüfungsmöglichkeiten durch die menschliche Hand.
