Possibilités d'enregistrement d'un certificat Code Signing EV

Un certificat Code Signing EV doit être toujours stocké sur un périphérique sécurisé garantissant sa fiabilité. L'enregistrement sur un token USB empêche toute utilisation abusive, car le périphérique est protégé par un mot de passe, la clé est générée sur le matériel lui-même et l'exportation du certificat est impossible. Quelles sont les options de stockage des certificats Code Signing EV disponibles ?

Stockage sur un token HW

Les certificats Code Signing EV sont le plus souvent stockés sur un token USB. Actuellement, l'autorité de certification offre gratuitement le model SafeNet 5110 sur lequel vous pouvez stocker également d'autres certificats et qui assure une protection efficace contre le vol.

Les clés privées sont stockés également sur le token USB et ne peuvent pas être exportées. Pour pouvoir utiliser un certificat, il vous faut un mot de passe pour déverrouiller le périphérique. Si vous entrez un mot de passe incorrect 10 fois de suite, votre token sera bloqué et deviendra inutilisable. Les attaques visant à deviner le mot de passe sont donc exclues.

Pour en savoir plus sur le matériel, la fiche technique est à votre disposition sur le site web du fabricant ou dans la fiche produit.

Le token SafeNet eToken 5110 est compatible avec les serveurs : OS Windows Server 2008/R2, Windows Server 2012 et 2012 R2, Windows 7, Mac OS, Linux, Windows 8 et Windows 10. Son connecteur USB est standard (type A) et la mémoire pour les clés est de 80k. Il est conforme à la norme ISO 7816-1/4.

Safenet token 5110

Stockage sur un HSM (Hardware Security Module)

Un HSM est un dispositif informatique qui protège et gère les clés numériques, exécute des fonctions de chiffrement et de déchiffrement cryptographiques ou autres informations sécurisées (Wikipedia). Un HSM fonctionne comme un serveur et ressemble souvent à l'unité de rack.

Si votre entreprise dispose de ce matériel spécialisé, vous pouvez l'utiliser pour stocker vos certificats Code Signing (et bien sûr d'autres certificats) au lieu d'un token USB ; cela peut vous simplifier (ou automatiser) le processus de signature.

Lors de la commande, vous pouvez choisir l'option Enregistrement sur HSM DigiCert CS EV. Si vous choisissez cette option, l'AC DigiCert voudra prouver que vous disposez bien d'un périphérique sécurisé et audité.