程式碼簽名機制是基於PKI技術的成熟機制,幫助開發者和終端使用者建立安全信任的軟體釋出環境和使用環境,用來保護智慧財產權和信譽,確認軟體開發商的身份,證明自簽名後軟體未被修改和纂改,精確區分合法應用程式和惡意軟體,保障開發者程式碼和消費者軟體內容的安全性。
然而在程式碼簽名的實際應用中,存在著諸多安全管理問題和安全風險,極易造成重大財務損失以及品牌損害。(如:使用不當,保管不嚴等造成金鑰洩露;管理不善等造成證書洩露……)
看到這些新聞,是否讓你感到焦慮?
■ 2010年6月 赫赫有名的震網病毒盜用著名IT企業的數字簽名進行偽裝。
■ 2013年4月,臺灣FTP伺服器中AMI Aptio UEFI BIOS原始碼洩露,甚至包括AMI專用UEFI BIOS簽名測試金鑰
■ 2015年9月,D-link意外洩露私有程式碼簽名金鑰,黑客可用該金鑰對惡意軟體進行簽名,使它更容易執行攻擊。
■ 2015年,一家韓國移動軟體開發商簽名證書被盜,黑客用其簽名一款暴力伺服器訊息塊(SMB)掃描程式。
■ 2018年11月 騰訊智慧安全御見威脅情報中心發現,一款擁有用合法數字簽名的挖礦木馬在Windows和安卓系統中悄然流行,中毒電腦和手機會執行門羅幣挖礦程式。
■ 2019年5月 三星SmartThings 敏感的原始碼、證書和金鑰一起洩露,包含了iOS和Android應用的私有證書。
為了輕鬆應對因保管不嚴等造成的簽名金鑰洩露、簽名許可權回收難、EV程式碼簽名跨部門跨地區使用不便等程式碼簽名的安全管理風險難題,這次來為大家解決問題的 “主角” 正是:
VSign
跨地區跨平臺進行桌面和移動端應用簽名
亞洲誠信經過多年研究,不斷優化產品功能、打磨產品細節,自主研發的“VSign”程式碼簽名解決方案完美實現跨平臺跨地區暢享秒籤、隔空籤、多人籤,幫助企業可以更從容地面對不可預知的變化趨勢與潛在安全風險,並最終實現業務增長的目標。
滿足全部安全需求
△ 消費者應用程式:無法隨時掌控所有金鑰使得企業和消費者易遭受攻擊。
△ 內部應用程式:內部開發過程中的程式碼簽名安全流程和掌控的複雜性和難度會帶來重大風險。
△ 第三方市場:在許多開發人員之間共享金鑰會使他們遠離組織的可見性和控制。
選擇VSign=安全性和高效性提升至90%
☞ 雲端加密機:硬體安全模組內,安全可靠的管理儲存金鑰;
☞ 統一身份認證:支援 LDAP、OAuth 企業內部多個操作統一身份鑑權;
☞ 私有化部署:提供整套簽名系統的私有化部署,更安全可控;
☞ 遠端證書對映:遠端證書對映到本地供其它簽名客戶端使用;
☞ 無縫的簽名體驗:實現桌面客戶端和雲端系統的完美結合,提供安全、快速、便捷的簽名服務;
☞ 跨平臺簽名服務:支援多種檔案格式,包括 Windows、Mac / iOS(按需啟用)、Android(按需啟用);
☞ 批量簽名:使用者通過設定簽名規則可實現大批量的檔案簽名操作;
☞ 簽名審計:完善的簽名審計功能和責任追蹤機制簽名過程完全可見;
☞ 內建多品牌時間戳服務:提供多品牌時間戳服務,包括 DigiCert、TrustAsia、Symantec等,特別的,還包括 RFC3161 和 MS Authenticode;