Wie das Code Signing EV Zertifikat gespeichert werden kann

Das Code Signing EV Zertifikat muss immer auf einem sicheren Gerät gespeichert sein, welches seine Vertrauenswürdigkeit garantiert. Die Speicherung auf dem Token schließt außerdem sein Missbrauch aus, weil das Gerät mit einem Passwort geschützt ist und der private Schlüssel sich nicht exportieren lässt. Welche Optionen der Speicherung von Code Signing EV Zertifikaten stehen Ihnen als unseren Kunden zur Verfügung?

Speicherung auf das HW Token

Es handelt sich um die üblichste Art der Speicherung des Code Signing EV Zertifikats. Momentan nutzen die CAs das Token SafeNet 5110, welches Sie kostenlos zu dem Zertifikat erwerben. Es ermöglicht auch andere Zertifikate zu speichern und stellt einen effektiven Schutz vor ihrem Diebstahl dar.

Die Zertifikate sind zusammen mit den privaten Schlüsseln auf dem Token gespeichert und es ist nicht möglich, die Schlüssel zu exportieren. Für die Verwaltung der Zertifikate muss das Token mit einem Passwort entsperrt werden; sollte das Passwort zehnmal falsch eingegeben werden, wird das Token blockiert und nicht mehr nutzbar. Brute-Force Angriffe zum Durchbrechen des Passwortes werden dank dieser Maßnahme ausgeschlossen.

Die technische Spezifizierung des Tokens finden Sie auf dem Web des Herstellers oder in der Produktbeschreibung.

Das Token wird auf den folgenden Servern unterstützt: OS Windows Server 2008/R2, Windows Server 2012 und 2012 R2, Windows 7, Mac OS, Linux, Windows 8 und Windows 10. Angeschlossen wird es mit dem Standard-USB Port (USB type A) und der Speicher für Schlüssel beträgt 80k. Es erfüllt die Normierung ISO 7816-1 bis 4.

Safenet token 5110

Speicherung auf HSM (Hardware Security Module)

Das mit der Abkürzung HSM genannte Gerät stellt eine spezialisierte Hardware für Speicherung der Schlüssel, Zertifikate oder anderer kryptographischer Daten (Wikipedia) dar. HSM funktioniert wie ein Server und ebenfalls sieht wie ein Rack-Server aus.

Falls Ihr Unternehmen über diese spezialisierte Hardware verfügt, können Sie sie für die Speicherung der Code Signing (und natürlich auch anderer) Zertifikate anstatt des Tokens nutzen und sich somit den Signierungsprozess vereinfachen (oder ganz automatisieren).

Die Möglichkeit der Speicherung auf HSM steht Ihnen zur Wahl in der Bestellung des DigiCert Code Signing EV Zertifikats. Rechnen Sie aber bitte damit, dass falls Sie diese Option wählen, wird die CA DigiCert von Ihnen belegen möchten, dass Sie tatsächlich über ein sicheres und auditiertes Gerät verfügen.