行业新闻与博客

代码签名证书要求在地下在线市场上加价。考虑到犯罪分子有时会利用它们欺骗潜在的受害者在其计算机上安装恶意软件，这不足为奇。

经过代码签名的恶意软件对用户而言似乎是安全的，而如果未签名，则用户将收到警告，请谨慎。近年来，欺诈者一直在向流行的远程会议软件客户端（例如 Zoom）注入恶意软件，许多用户并不知道其设备已受到威胁。

暗网卖家有时会冒充未经授权的眼睛冒充像您一样的假冒公司，并从证书颁发机构获得此类证书。在其他情况下，它们会与组织中的敏感私钥一起窃取它们。去年，黑客入侵了华硕的代码签名证书和相关私钥，并利用恶意软件渗透了超过一百万台设备。危险是真实的。

重要的是要了解代码签名证书有两种形式：

标准证书要求颁发证书的证书颁发机构对证书的请求者及其公司信息进行低级审查。密钥通常存储在软件或文件系统中。

扩展验证（EV）代码签名证书需要由证书颁发机构进行更高级别的审核，然后才能颁发。密钥存储在受良好保护的硬件中。

网络犯罪分子通常会选择标准证书，因为获取它们所需的时间和成本相对较低。

对于 EV 代码签名证书，由 CA / Browser 论坛（一个行业联盟）强制进行的审查过程以及严格的要求，以阻止欺诈者尝试获得 EV 证书。实际上，佐治亚理工学院的网络取证创新实验室的研究表明，EV SSL 证书有 99.99％ 可能没有网络钓鱼攻击和滥用。EV 代码签名证书的数据可能相似。

由于 COVID-19 锁定，越来越多的人在网上花费时间，恶意软件攻击的数量已大大增加。如果流氓可以使用代码签名证书使恶意软件看起来合法，那么更多的人会为他们的骗局而迷路。因此，他们可能会尝试破坏您的私钥和证书。

为了帮助保护您，EV 代码签名证书要求将密钥存储在高度安全的 FIPS 140-2 或更高标准兼容的硬件中。有 USB 令牌可以满足此要求，并使用 PIN 添加另一层保护。或者，您可以将密钥本地存储在组织的硬件安全模块（HSM）中。

EV 代码签名证书将敏感密钥存储在受良好保护的硬件中。USB 令牌提供单独的分配并有助于移动性。但是，它们可能会放错位置或容易丢失。HSM 有助于集中管理密钥，这些密钥通常可以保护安全的 IT 壁橱或数据中心中的硬件，但是这些设备的成本通常更高。这些要素必须与组织的需求平衡，以找到最佳解决方案。

除了增强安全性外，EV  代码签名证书还可以：

使用 Microsoft 的 SmartScreen 应用程序信誉文件管理器即时获得信誉评分。这意味着您不必等待数月，就可以建立新创建的应用程序的声誉，并且用户群可以更快地信任它。

对于操作系统内核模式应用程序，Microsoft 强制要求它们使用 EV 级代码签名证书进行签名，从而从根本上加快了在市场上建立软件品牌的能力。

保护您的私钥。将它们存储在符合 FIPS 的硬件中。并且，选择 EV 代码签名证书，即使这意味着要多花一点钱，但是投资是值得的。

本文由机器译制