Совет по безопасности центров сертификации (Certificate Authority Security Council, CASC), считающий своей миссией усиление безопасности Интернета, призывает все УЦ соблюдать минимальные требования к цифровой подписи программного кода, сформулированные рабочей группой альянса CA/Browser Forum.

Как отмечено в пресс-релизе CASC, это первая в истории попытка стандартизации в этой области. Наличие цифровой подписи позволяет удостовериться в подлинности исполняемого кода или скрипта, что очень важно при обилии вредоносных и потенциально опасных программ, которые можно случайно загрузить из Интернета.

«До сих пор никаких стандартов не было, а значит, когда УЦ отвергал какое-либо приложение, компания-разработчик могла подать ту же заявку в другой УЦ, — комментирует Дин Коклин (Dean J. Coclin), старший директор Symantec по развитию бизнеса. — Минимальные требования к подписи кода облегчат всем УЦ идентификацию издателей и подтверждение неизменности кода».

Профильная рабочая группа, составленная из членов CASC, трудилась над созданием норм по использованию сертификатов для подписи кода более двух лет, взаимодействуя с УЦ, вендорами приложений и специалистами по ИБ. В результате совместных усилий был опубликован документ «Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates» («Минимальные требования к изданию и обеспечению функционирования сертификатов для подписания кода, пользующихся общим доверием»), содержащий новые рекомендации по защите IT-систем и хранилищ информации от кибератак, в частности:

  • в целях повышения защищенности закрытых ключей для их хранения лучше всего использовать аппаратные модули стандарта FIPS 140-2 с уровнем защиты 2 или эквивалентные; исследования показывают, что атакующие в равной мере полагаются на сертификаты недобросовестных издателей и сертификаты законопослушных издателей, неумышленно допустивших компрометацию ключей, посему для хранения ключей рекомендуется использовать изолированные аппаратные модули на местах или специализированные облачные сервисы;
  • УЦ должен осуществить отзыв сертификата по просьбе вирусного аналитика или вендора приложений в течение двух дней либо уведомить заявителя о начале расследования;
  • УЦ следует создать специальную группу по установке меток времени и определить требования к такому органу и к сертификатам с отметкой времени, действительным в течение 135 месяцев; вендоры приложений должны следить за сохранением валидности подписи кода на протяжении срока действия сертификата с отметкой времени.

Первой компанией, принявшей на вооружение новые нормы, стала Microsoft. Ожидается, что ее примеру последуют и другие разработчики приложений, использующие цифровые сертификаты стандарта X.509 v.3 для реализации соединений SSL/TLS и для подписи кода. Microsoft начнет требовать соблюдения новых правил от УЦ, издающих сертификаты для Windows-платформ, с 1 февраля 2017 года.

«На разные версии Windows-платформ Microsoft приходится около 90% рынка десктопных ОС, поэтому с ее решением требовать от УЦ соблюдения новых норм нельзя не считаться, — признал Джереми Руоли (Jeremy Rowley), вице-президент DigiCert по инвестированию в развивающиеся рынки. — Мы ожидаем, что примеру Microsoft вскоре последуют и другие поставщики прикладного программного обеспечения».

Категории: Вредоносные программы, Главное, Кибероборона