Últimas notícias

Fique informado

GlobalSign anuncia mudanças no comprimento da chave de assinatura de código

12 de maio de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Digicert Fala sobre o CA/B Fórum e sua atuação como AC

O Fórum de Autoridade de Certificação / Navegador CA/B é o órgão de definição de padrões que colabora nos aspectos de segurança de sites

21 de janeiro de 2021

De todos os vários tipos de comprometimento de chave PKI, o comprometimento da chave para a assinatura de código é indiscutivelmente o pior

Patrick Nohe – Senior Product Marketing Manager at GlobalSign

Uma chave de assinatura de código – Code Signing Certificates – é o que os desenvolvedores de software usam para assinar seus programas e atualizações. 

Ao assinar o software, o desenvolvedor está fornecendo uma demonstração criptográfica de que o programa é autêntico e está intacto (não foi adulterado).

Nossos dispositivos – nossos computadores, tablets e telefones celulares – são projetados para confiar nessas assinaturas e, por extensão, no software ou nas atualizações nas quais elas estão afixadas. 

Quando o software malicioso é distribuído com assinaturas confiáveis, o caos se instala. Se uma chave de assinatura de código for comprometida, ela permite que um invasor assine malware e nossos dispositivos confiarão nele, executá-lo e serão vítimas de qualquer coisa que seja o jogo final – seja uma violação de rede de alto perfil ou apenas roubo de energia da CPU para minerar Bitcoin.

Então, como você compromete uma chave? 

Na realidade, isso geralmente ocorre devido à falha do proprietário legítimo da chave privada em protegê-la adequadamente (é por isso que os certificados de assinatura de código precisam ser protegidos em hardware criptográfico adequado). 

Mas também há uma opção de “força bruta” em uma chave, adivinhando seu valor. Destilada em sua forma binária mais simples, uma chave criptográfica RSA é apenas uma série de 1s e 0s. Uma chave de 2.048 bits é uma string de 2.048 1s e 0s. Adivinhar o valor torna-se exponencialmente mais difícil a cada bit que você adiciona. Portanto, mais tempo geralmente equivale a mais seguro.

É por isso que, à luz dos recentes compromissos de assinatura de código, o Fórum CA / B determinou que todas as chaves de assinatura de código sejam aumentadas para melhorar sua segurança. Portanto, a partir de 31 de maio de 2021, todas as chaves de assinatura de código GlobalSign serão emitidas em comprimentos de 4.096 bits. Isso inclui renovações e novas edições também.

Mudanças na assinatura do código EV

A assinatura de código de validação estendida (EV) fornece o nível mais alto de autenticação para signatários e aumenta a reputação com o filtro Microsoft SmartScreen. Um dos requisitos para certificados de assinatura de código EV é que a chave de assinatura deve ser armazenada em um token físico ou em um HSM. Começando com as alterações mencionadas anteriormente no comprimento da chave, a GlobalSign fornecerá novos tokens compatíveis com chaves de 4.096 bits.

Infelizmente, os tokens Safenet 5110 FIPS que têm sido usados ​​historicamente para armazenar certificados de assinatura de código EV NÃO são compatíveis com as novas chaves de assinatura mais longas. Como resultado, qualquer pessoa que reemita ou renove seu Certificado de Assinatura de Código EV receberá um token atualizado para sua chave – o Safenet 5110 CC (940).

Atualizações em nossas URLs de carimbo do tempo e de assinatura de código

O Carimbo do Tempo ou Time Stamp, é um componente crítico da assinatura de código. Embora tecnicamente opcional, o carimbo de data / hora mantém as assinaturas criptográficas feitas por sua chave válidas para sempre. Sem um carimbo de data / hora, as assinaturas deixam de ser confiáveis ​​quando o certificado associado à chave de assinatura expira (dentro de três anos).

De acordo com os novos requisitos em torno da assinatura de código, a GlobalSign fará atualizações em seus serviços de carimbo de data / hora. Configuramos um novo URL R6 TSA, bem como um novo URL R3 para substituir nosso antigo. 

Os clientes TSA devem migrar para os novos URLs de carimbo de data / hora de assinatura de código listados abaixo até 1º de junho de 2021.

Recomendamos que todos os clientes mudem para o novo URL R6 TSA – TSA ou Time Stamp Authority, Autoridades de Carimbo do Tempo.

A partir de 1º de junho de 2021, os URLs de carimbo de data / hora anteriores que utilizavam a raiz R3 serão descontinuados e os clientes não poderão mais usá-los para assinar.

As always, we want to thank those of you who have already chosen GlobalSign to be your Code Signing Certificate provider. If you have any questions or concerns please reach out to our Support Team. We are happy to assist you.

Fonte: GlobalSign

Maximum SSL/TLS Certificate Validity is Now One Year. By Patrick Nohe

Online Identity Is Important: Let’s Upgrade Extended Validation. By Patrick Nohe 

Certificado Digital de assinatura de códigos mais uma vez é usado para fraudes

Microsoft adere aos novos padrões de certificados de assinatura de código promovido pelo CASC

Qual é o valor legal de uma assinatura eletrônica?

A DigiCert anuncia o DigiCert Automation Manager, uma solução empresarial inovadora e voltada para a automação de certificados TLS em larga escala no local

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.