Options de stockage des certificats Code Signing

Les certificats de signature de code doivent être stockés sur des dispositifs sécurisés, tels que des tokens USB ou des modules de sécurité matérielle (HSM), afin de garantir leur fiabilité. Ce stockage sécurisé prévient toute utilisation malveillante, car l'accès est protégé par un mot de passe et la clé privée ne peut pas être exportée. Nous présentons ici les différentes options de stockage pour les certificats de signature de code.

Keylocker

Keylocker est une solution de stockage en cloud à la fois avancée et extrêmement sécurisée, se positionnant comme la meilleure option actuellement disponible. Une fois émis, le certificat de signature de code est chargé dans le service Keylocker, vous offrant un accès à distance pour signer des documents via la méthode de signature par hachage. Ce processus est à la fois rapide et sécurisé, vous déchargeant ainsi de toute inquiétude concernant la sécurité de votre certificat et de votre clé privée. Pour plus de détails sur le service Keylocker, consultez l'article intitulé DigiCert KeyLocker (cloud HSM).

Lorsque vous commandez votre certificat de signature de code, choisissez Keylocker comme option de stockage. Vous recevrez une invitation à accéder à votre compte DigiCert ONE, où le certificat sera émis. Grâce à l'assistant, vous pourrez configurer aisément l'authentification et la communication avec DigiCert ONE. Vous avez la possibilité de signer vos fichiers avec signtool ou tout autre outil de votre choix, tout en bénéficiant également des utilitaires de signature fournis par DigiCert.

La signature par hachage n'est pas seulement la méthode la plus sécurisée, mais elle est aussi la plus rapide. Cela s'explique par le fait que seule l'empreinte numérique du fichier est signée, au lieu de l'intégralité du fichier, contrairement à la méthode utilisée par signtool.

Stockage sur un token USB

Les certificats Code Signing sont souvent stockés sur les tokens USB bien que cette méthode est considérée comme dépassée. Les autorités de certification acceptent actuellement le model SafeNet 5110. Il permet de stocker d'autres certificats et garantit la protection de la clé privée.

Les clés privées et les fichiers PFX ne sont plus exportables. Pour utiliser le certificat, il est nécessaire de déverrouiller le dispositif avec votre mot de passe. En cas de saisie incorrecte du mot de passe à 10 reprises consécutives, le token sera bloqué et deviendra inutilisable. Ainsi, les tentatives d'attaque par force brute pour deviner le mot de passe sont exclues.

Pour obtenir des informations supplémentaires sur le matériel, vous pouvez consulter la fiche technique disponible sur le site web du fabricant ou dans la fiche produit.

Stockage sur un HSM (Hardware Security Module)

Les certificats Code Signing peuvent être hébergés sur des périphériques HSM, des dispositifs informatiques conçus pour protéger et gérer les clés numériques, ainsi que pour exécuter des fonctions de chiffrement et de déchiffrement cryptographiques. (Wikipedia).Un HSM fonctionne souvent comme un serveur et prend généralement la forme d'une unité de rack.

Si votre entreprise possède ce type de matériel spécialisé, vous pouvez l'utiliser pour stocker vos certificats Code Signing (ainsi que d'autres certificats), en remplacement d'un token USB. Cela peut simplifier ou même automatiser le processus de signature.

Si vous ne possédez pas encore de HSM, il n'est pas nécessaire d'en acheter un. Vous pouvez, par exemple, choisir de stocker votre certificat de signature de code dans un cloud tiers tel qu'Azure Key Vault ou des services similaires. Cette option est tout à fait envisageable, mais il est essentiel de créer la CSR directement au sein de ce service.

Lors de la commande, vous pouvez choisir l'option Stocker sur un module HSM DigiCert CS. Si vous choisissez cette option, l'AC DigiCert voudra prouver que vous disposez bien d'un périphérique sécurisé et audité.