Code Signing: dimensione delle chiavi crittografiche

Per parlare di code signing, dimensione delle chiavi crittografiche e della loro importanza, è necessario chiarire alcuni punti:

• I certificati di firma digitale vengono utilizzati per convalidare una firma su un codice o un documento.
• Una delle caratteristiche principali della firma dei certificati è la dimensione della chiave privata per la firma e la crittografia.
• La firma potrebbe dover essere valida per un lungo periodo, tenendo in considerazione che andando avanti nel tempo la tecnologia si evolve e che quindi la vecchia crittografia può diventare debole o obsoleta. Pertanto, una firma attualmente sicura potrebbe essere compromessa in futuro.

Il National Institute of Standards and Technology (NIST) ha pubblicato “NIST SP 800-57, Recommendation for Key Management”.  Tali raccomandazioni si basano sulla forza della sicurezza e sull’importanza della dimensione delle chiavi. Le chiavi RSA a 2048 bit sono oggi comunemente utilizzate e hanno una “security strenght di 112”, che si prevede sarà inutilizzabile a partire dal 2030.

Microsoft infatti, per far fronte a queste problematiche ha limitato l’uso di certificati radice RSA a 2048 bit a non oltre il 2030. Inoltre, i nuovi requisiti di dimensione della chiave per la firma del codice e la marcatura temporale devono essere RSA a 4096 bit.

Anche il CA / Browser Forum ha aderito alle indicazioni di NIST. A partire dal 1 Giugno 2021, i requisiti di base per i certificati di code signing stabiliscono che la dimensione minima della chiave per i certificati di firma del codice e di marca temporale è RSA di 3072 bit.

Code Signing, Dimensione delle Chiavi ed Entrust

Entrust soddisferà queste politiche, distribuendo una radice RSA a 4096 bit e rilasciando CA nella prima metà del 2021. Le chiavi del certificato di firma del codice Entrust saranno limitate a 3072 o 4096 bit RSA. Se la firma del codice è contrassegnata dall’ora, l’autorità di marca temporale Entrust utilizzerà una chiave RSA a 4096 bit.

Inoltre, le chiavi di firma del codice EV (Extended Validation) devono essere generate all’interno di hardware crittografico, ove per altro è fortemente consigliata la generazione anche delle chiavi per certificati di tipo non EV. Per supportare questo requisito, Entrust fornisce un token crittografico per generare e gestire chiavi private. Nuovi token verranno distribuiti anche per nuovi certificati per supportare chiavi RSA a 4096 bit.

Cosa è necessario fare?

Se sei un cliente attuale per i certificati di firma del codice, devi considerare la migrazione a una coppia di chiavi RSA minima di 3072 bit. Se il tuo server o HSM non supporta RSA a 3072 bit, puoi comunque utilizzare un certificato di firma del codice con chiave RSA a 2048 bit purché sia ​​emesso prima del 1 ° giugno 2021.

Tieni presente che Entrust e altre CA migreranno prima di tale data per garantire la conformità. Se è necessario rinnovare il certificato, si consiglia di farlo entro la fine di Aprile 2021. Poiché il periodo massimo di validità del certificato di firma del codice è di tre anni, si avrà così più tempo per la migrazione. Tieni presente che se perdi la chiave o devi riemetterla dopo la migrazione, la coppia di chiavi deve essere un RSA minimo di 3072 bit.

Poiché i requisiti di base per la firma dei certificati si evolvono per resistere ai più recenti protocolli di sicurezza per la crittografia, gli utenti devono prepararsi alla migrazione a una coppia di chiavi più forte per mantenere la conformità.