SSL/TLS証明書とは異なり、コードサイニング証明書は、将来にわたって安全性を維持する署名を作成できることが必要です。鍵長が短ければ、将来の暗号攻撃に対する耐性が低くなり、署名されたコードに対する信頼性が低下することを意味します。

この課題に対して、規制機関は、署名されたコードの信頼性を維持するために、コードサイニングを長期間にわたって安全に保つための解決策を模索しています。米国国立標準技術研究所(NIST)は、 NIST SP 800-57 で、鍵管理に関する推奨事項を発表しています。NISTは、2030年までに2048ビットのRSA鍵を廃止することを推奨しています。2030年はまだ数年先ですが、現在作成されている証明書や署名の多くは、その時点で引き続き使用されているでしょう。

マイクロソフトはこのガイダンスに従い、ポリシーを変更しました。マイクロソフトは、コードサイニングおよびタイムスタンプ用の新しいルートキーに、4096ビットのRSAを使用することを義務付けています。さらに、マイクロソフトは2030年以降、2048ビットのRSAルート証明書を信頼しません。

そして新しい CA/B フォーラムの基本要件では、一般に信頼されるコードサイニングおよびタイムスタンプ証明書の最小鍵要件は3072ビットRSAになりました。コードサイニングの基本要件の変更は、2021年6月1日に発効しますが、コンプライアンスを維持するために、より早い段階で長いキーの使用を開始します。必要な鍵長が大きくなると、ハードウェアやトークンを購入したり、マネージドサイニングサービスに移行したりする可能性も出てきます。

デジサートが、コードサイニング製品に3072ビットのRSA鍵を採用するのはいつですか?

デジサートは、2021年5月27日以降、コードサイニング証明書の新規発行または更新の際には、3072ビット以上の鍵長を必要とします。5月27日までに、デジサートアカウントの担当者に移行の相談をしてください。ただし、5月27日以前に発行された証明書は、有効期限が切れるまで有効です。この日以降、証明書の再発行、更新、新規発行には、最低でも3072ビットのRSAを使用する必要があります。

今回の変更に対するデジサートの立場は?

デジサートでは、これはセキュリティにとって前向きな動きであり、今後の業界標準に準拠したものであると考えています。しかし、お客様にとって、変更のための負担が大きいことも理解しています。移行を可能な限り容易にするために、ハードウェアを必要とせずに新しい要件に合わせることができるDigiCert® Secure Software Managerの活用をお勧めします。Secure Software Managerは、DigiCertONE上に構築されているため、コードサイニングの完全な自動化をサポートしており、署名をスクリプト化してJenkinsやAzureなどの開発者用ビルドツールと統合することができます。

Secure Software Managerを使用すると、署名ごとにトークンPINコードを使用するのではなく、EVコードの署名を自動化することができます。Secure Software Managerは、現行のコンプライアンス要件に沿ったワークフローのみをサポートし、鍵の生成と保護をサポートしているため、将来的なポリシーの変更があっても、常にコンプライアンスを維持できることを保証しています。

DigiCert® Secure Software Manager

Secure Software Managerは、ポータブルで柔軟な展開モデルと安全な鍵管理によって、継続的インテグレーション/継続的デリバリー(CI/CD)パイプライン全体で自動化されたセキュリティを実現し、コードサイニングを管理するサービスアプローチです。Secure Software Managerは、プライベート署名、オンデマンドキー、ローテーションキーの署名ごとのユニークキーや証明書など、コードサイニングのベストプラクティスをサポートしています。Docker、Microsoft、Java、Androidなどの主要なプラットフォームやライブラリに対応しています。Secure Software Managerを使用することで、組織は製品開発プロセスにコードを簡単に統合することができ、同時に暗号操作、署名活動、管理を制御された監査可能な方法で委任することができます。DigiCertONEの一部として、Secure Software Manager は、数分以内に大量の証明書を迅速に展開することができ、さらにオンプレミス、国内、クラウドのいずれの環境にも柔軟に対応することができます。

このようなコードサイニング証明書の管理方法の変更に伴い、最新のマネージドサイニングサービスを検討する時期に来ているのかもしれません。詳細については、DigiCert® Secure Software Managerページを参照してください。

UP NEXT

DIGICERT AUTOMATION MANAGER - ファイアウォールの内側から証明書の停止を防止

特集記事

VMC Blog Featured Image

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう