Possibilités d'enregistrement d'un certificat Code Signing EV

Un certificat Code Signing EV doit être toujours stocké sur un périphérique sécurisé garantissant sa fiabilité. L'enregistrement sur le token USB empêche son utilisation abusive, car le périphérique est protégé par un mot de passe et la clé est générée sur le matériel lui-même et ne peut être exportée. Quelles sont les options de stockage des certificats Code Signing EV disponibles ?

Stockage sur un token HW

Le moyen le plus fréquent pour enregistrer un certificat Code Signing EV est l'utilisation d'un token USB. Actuellement, les autorités de certification offrent gratuitement le model SafeNet 5110 qui permet de stocker également d'autres certificats et offre une protection efficace contre le vol.

Les clés privées sont stockés également sur le token USB et ne peuvent pas être exportées. Pour utiliser des certificats, vous serez invité à entrer un mot de passe pour déverrouiller le périphérique. Après 10 entrées de mot de passe incorrectes, le token est bloqué et devient inutilisable. Les attaques visant à deviner le mot de passe sont donc exclues.

Pour savoir plus sur le matériel, la fiche technique est à votre disposition sur le site web du fabricant ou dans la fiche produit.

Le token SafeNet eToken 5110 est compatible avec les serveurs suivants : OS Windows Server 2008/R2, Windows Server 2012 et 2012 R2, Windows 7, Mac OS, Linux, Windows 8 et Windows 10. Son connecteur USB est standard (type A) et la mémoire pour les clés est de 80k. Il est conforme à la norme ISO 7816-1 à 4.

Safenet token 5110

Stockage sur un HSM (Hardware Security Module)

Un HSM est un boîtier matériel spécialisé pour stocker des clés, des certificats ou autres informations cryptographiques (Wikipedia). Un HSM fonctionne comme un serveur et ressemble à l'unité de rack.

Si votre entreprise dispose de ce matériel spécialisé, vous pouvez l'utiliser pour stocker vos certificats Code Signing (et bien sûr d'autres certificats) au lieu du token USB ; ça peut vous simplifier (ou automatiser) le processus de signature.

Lors de la commande, vous pouvez choisir l'option Enregistrement sur HSM DigiCert CS EV. Si vous choisissez cette option, CA DigiCert voudra prouver que vous disposez bien d'un périphérique sécurisé et audité.