程式碼簽章解決方案

程式碼簽章解決方案

程式碼簽章所需的高安全防護
° 保障來源、發佈日期及內容
° 建立軟體之完整性
° 保護重要的程式碼簽章金鑰

為了保護企業、品牌、合作夥伴和用戶不受到惡意軟體感染的軟體危害,軟體開發人員採用了程式碼簽章(Code Signing) 的做法。
nCipher 可以幫助您實施高效、高保障的程式碼簽章解決方案,保護您的企業和客戶免於被偽造或竄改的應用程序攻擊。

共享的程式碼簽章HSM,可支援多個軟體建構站(Software Build Station)

發行程式碼所面臨的挑戰

商業資訊技術很複雜,運作組織需要使用各種不同來源的軟體。無論是僅供內部使用或銷售給客戶,所有會進行軟體開發的公司都需要建立或支援其軟體的驗證機制。

確保程式碼安全需要以下機制:

  • 驗證簽章程序,只有正確的程式碼會以正確的金鑰進行簽章
  • 管理簽章私鑰,以免被竊或讓未授權的軟體版本進入客戶端
  • 提供所有簽章行為之稽核與追蹤

nCipher在開發、實施安全程式碼簽章解決方案方面,具有相當豐富的經驗,能提供以下功能,解決程式碼開發流程、完整性和私鑰保護所可能面臨的挑戰:

  • 使用 nCipher nShield® HSM 進行程式碼簽章,降低金鑰被竊、企業被冒名及惡意竄改軟體的風險
  • 讓終端用戶能驗證軟體的來源及完整性,並確認是否有惡意程式碼竄改及穿插在內
  • 作業系統會針對未簽章之軟體,顯示強烈警告的對話框,進而促使用戶安裝正確的軟體。
  • 為程式碼簽章的運作,提供存取控制、工作流程簽核、自動化和稽核功能。

以 NCIPHER HSM 作為程式碼簽章的硬體信任根

程式碼簽章是數位簽章在軟體發佈上的應用。

程式碼簽章讓終端用戶能透過發行者的身分驗證來確認軟體的來源和完整性; 同時也因為作業系統會針對未簽章的軟體,顯示強烈警告的對話框,進而促使用戶安裝正確的軟體。

私鑰對程式碼簽章系統的安全性而言相當重要,因此絕不能對外揭露或分享。如果私鑰被破解或盜用,整個信任機制就會失效,因此私鑰的安全性可說是程式碼簽章程序的基礎。

對機敏應用程式而言(如程式碼簽章的私鑰保護),無論是使用中或非使用的狀態,建立安全的解決方案是相當重要的。 HSM 提供經認證的防篡改環境,可對金鑰的整個生命週期進行保護。

為達到上述功能,nCipher 提供以下兩種以 nShield HSM(硬體安全模組)作為硬體信任根(root of trust)基礎的程式碼簽章解決方案,包括:

程式碼簽章閘道 Code Signing Gateway

對於需要高度控管軟體簽章審核流程的大型企業,程式碼簽章閘道提供了一系列彈性、集中的工作流程自動化功能,可幫助軟體開發單位滿足強大的安全要求。程式碼簽章閘道是一個集中化的客戶託管伺服器,執行與 nCipher 程式碼簽章工作流程相關的應用程式。

程式碼簽章閘道可管理工作流程、接受請求、透過電子郵件通知審核人員、管理逾時狀況、確認審核進度、Log 活動,並將通過簽章的程式碼傳送至暫存區(staging area)。可以支援多種使用者身分,如:程式碼簽章閘道管理員、企業用戶、單機、IoT物聯網或手機應用程式開發人員、管理團隊及程式碼簽章審核人員。活動目錄集則用於工作群組授權與使用者的身份驗證。

nCipher nShield HSM 用於保護程式碼簽章所使用的私鑰。簽章金鑰存於HSM中,並能對應程式碼簽章閘道所產生的各種簽章檔。

程式碼簽章閘道整合多種標準簽章工具,如 Oracle Jarsigner、Microsoft SignTool、Apple 程式碼簽章工具與 Android 程式碼簽章套件。流程示意圖如下圖所示:

程式碼簽章閘道流程示意圖

 

其他功能還包括多重簽章檔,會使用多個數位憑證支援多重簽章檔、集中Log記錄、文件歸檔,以及時間戳記服務和 Microsoft Windows Defender 的整合,以便在簽章前確認檔案是否中毒。nCipher 程式碼簽章閘道是由 nCipher ASG 進階解決方案團隊,針對每個客戶的使用環境所提供的客製化解決方案。

直接與HSM整合的程式碼簽章

與 nCipher nShield HSM 直接整合,為少數開發人員提供了簡單區分權責的解決方案。通常用於個人開發者工作站或專用程式碼簽章伺服器。程式碼簽章所需使用的私鑰由nShield HSM 生成保護。 與HSM整合的程式碼簽章使用標準API,如Java Cryptography Extension(JCE)、Microsoft CAP 和 CNG,並使用第三方工具,如 Jarsigner,SignTool 和 Open SSL,以建立HSM所執行的簽章請求。

 

了解更多資訊: https://www.ncipher.com/solutions/use-case/credentialing-and-pki-applications/code-signing

 

延伸閱讀:

Entrust Datacard將收購Thales通用硬體安全模組(GP HSM)業務

Entrust Datacard將收購Thales通用硬體安全模組(GP HSM)業務

首屈一指的授信身份和安全發行技術解決方案供應商Entrust Datacard宣佈,已簽署最終協議,將收購Thales居於市場領導地位的通用硬體安全模組(GP HSM)業務nCipher Security。nCipher Security自2019年1月起便以獨立業務的形式在Thales內營運。為取得收購Gemalto所需的監管許可,並確保HSM市場保有強大的競爭力,Thales決定分離其通用HSM業務。 

通用HSM是Entrust Datacard解決方案的核心元件,也是其公鑰基礎設施(PKI)和安全通訊協定(SSL)產品的安全架構基礎。此次收購不僅能使該公司進一步拓展其能力,為客戶提供符合他們高可信用性需求的解決方案,同時也能滿足因歐盟GDPR、eIDAS等規範所促使增加的資料保護需求。此次收購將強化Entrust Datacard的技術組合,以保護用戶內部、雲端和混合網路環境中的資料和身份安全,免於受到更頻繁、複雜的網路攻擊。此外,通用HSM也提供經驗證的可信平台,可提升、擴大當今和未來數位計畫之核心應用程式的安全,如IoT物聯網、電子支付、卡片發行和區塊鏈等。 

Entrust Datacard總裁兼執行長Todd Wilkinson表示:「此次收購可與我們在加密和硬體方面的專業知識相輔相成,並拓展我們的能力,滿足全球客戶不斷改變的安全需求,同時有助於我們加速自身的發展。」「Thales的通用HSM解決方案 – nCipher,在廣泛的運用基礎下,擁有強大的市場地位,不僅將帶來卓越人才,更能讓我們為客戶開發更全面的解決方案。」 

nCipher Security執行長Cindy Provin表示:「nCipher Security很高興能加入Entrust Datacard,我們雙方的解決方案間有很強的綜效,而且在客戶開始採用行動、雲端和IoT物聯網等技術以帶動業務成長,同時又致力於保護資料和管理日益增加的網路風險時,雙方的結合可更加速在客戶面的創新。」 

此次交易尚待Thales完成對Gemalto的收購,且須取得歐盟委員會、美國司法部、澳洲競爭與消費者委員會、紐西蘭商務委員會等單位核准Entrust為合適的購買者,並滿足各項常規交易條件。其他收購資訊將在交易完成後公佈。此次收購可望在2019年第二季完成,收購相關財務條款將不揭露。

 

原始新聞稿內容,請見 https://goo.gl/DmKWkt

 

關於 Entrust Datacard

消費者、人民和員工越來越希望在更多領域享受無地域和時間限制的使用體驗—無論是購物、出入境、使用政府數位服務或登入公司網路。Entrust Datacard為您提供可信賴的身份認證和安全交易技術,讓這些體驗更安全、可靠。我們的解決方案包括實體世界的金融卡、護照和身份證件,以及數位領域的身份驗證、憑證和安全通訊。Entrust Datacard在全球擁有2,200多名員工,以及強大的國際合作夥伴網絡,服務客戶遍及150多個國家。更多詳情,歡迎造訪 www.entrustdatacard.com

 

關於nCipher Security

當今快速發展的數位環境,提高了客戶滿意度、競爭優勢和經營效率,卻也同時增加了安全上的風險。
nCipher Security 是通用型硬體安全模組(HSM)的領導品牌,為世界頂尖企業的重要業務資訊和應用程式提供可信度、完整性與管控力。
nCipher Security 的加密解決方案可以保護雲端應用、IoT物聯網、區塊鏈、電子支付等新興技術,並滿足各種合規要求。nCipher Security 提供客戶所需的成熟技術來保護機敏資料、網路通訊和基礎設施免於威脅。任何時候,nCipher Security 都能為您的關鍵業務應用程式提供可信度,確保資料的完整性,並給予您充分的管控力。www.ncipher.com

nCipher 台灣區代理商  亞利安科技

自2019年起,nShield產品相關業務將由nCipher Security獨立管理

自2019年起,nShield產品相關業務將由nCipher Security獨立管理

2017年12月,Thales 正式宣布與Gemalto合併。在併購過程中,為取得國際各監管機構和歐盟委員會的許可,Thales 承諾將旗下的nShield業務切割給適合的第三方買家。有關歐盟委員會的許可公告,請參考 http://europa.eu/rapid/press-release_IP-18-6769_en.htm

基於上述業務分割承諾,Thales 在2018年12月也正式針對 nShield 系列產品組合及相關支援服務,發出重大組織變更聲明。 

自2019年1月1日起,nShield 系列產品及相關支援服務將成為獨立組織,並與 Thales eSecurity 其他業務分開管理,這個新的獨立組織名稱為nCipher Security。 

雖然目前 nCipher Security 相關業務仍將保留在 Thales 集團內,但會獨立於 Thales 其他業務之外,並分開管理。 

在進一步通知之前,所有的報價、訂單、合約和其他協議仍將保留於 Thales 既有的法律實體,且所有適用條款及條件都將維持不變,只是nShield 產品的相關業務將由 nCipher Security 個別管理。 

我們保證,所有 Thales eSecurity 及 nCipher Security 產品、解決方案和服務都將維持既有的最高水準,而這次的組織調整也不會影響 nShield產品線的支援服務和創新能量。如果您是 payShield、Datacryptor 或 Vormetric 產品的客戶,將不受任何影響,您與 Thales eSecurity 的業務合作仍維持不變,我們也期待能繼續維持這份合作關係。 

若您對nShield產品線有任何訂單、支援服務相關的問題,請洽Thales eSecurity及nCipher Security台灣區代理商-亞利安科技。

 

原文請見:An open letter to our customers and partners 

 

進一步了解:

HSM 應用

HSM 應用

HSM 應用範圍

汽車
>連通元件認證
>PKI 服務
>程式碼簽章

銀行及金融服務
>卡片交易 - ATM
>卡片交易 - (m)POS
>卡片保險
>PCI DSS
>3D-Secure
>網路 PIN 傳輸
>行動支付
>行動銀行
>線上銀行
>股票交易
>電子帳單
>員工 log-in
>中央銀行票據交換

基礎設施/石油及瓦斯
>智能電表
>監控與資料擷取系統(SCADA)

醫療
>病患紀錄
>用藥紀錄
>實驗室電子紀錄
>醫療保健供應商 Log-in

行動網路及通訊
>PCI DSS
>電子文件
>員工 Log-in
>行動支付
>SIM 個人化
>儲值卡
>DNS 註冊商及 TLD

交通運輸
>PCI DSS
>線上訂票
>運輸艙單
>數位轉速紀錄儀
>波音 787 PKI
>電子旅行證件
>E化閘門
>通行費徵收

政府
>民眾資料庫
>土地登記
>法院公證
>員工 Log-in
>身分證
>警政/法庭 犯罪證據
>電子護照
>政府機關入口網站
>線上退稅

高科技製造
>智慧財產保護
>設備認證
>程式碼簽章

科技服務
>PKI 服務
>外包作業
>雲端服務

HSM 加密應用

Thales HSM 產品

payShield 9000 – 專為支付產業設計的特殊應用HSM

擴充功能

  • 金鑰管理設備(KMD):保護關鍵元件登錄的防破壞安全模組(TRSM)
  • payShield 管理:提供 payShield HSM 24x7 的遠端管理
  • P3:EMV 個人化準備流程

nCipher HSM 產品

nShield 系列:nShield+和 XC model – 專為可信任應用程式設計的平台

以nShield為基礎的解決方案

  • CodeSafe – 保護 Execution Engine:關鍵應用程式的防破壞執行
  • 時間戳記:Time Stamp Option Pack、Time Source Master Clock
  • 程式碼簽章;高效能的數位簽章 
  • payShield Packages and Licenses

    PDF 檔案下載

    延伸閱讀:

    hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組hsm 硬體安全模組

    Thales推Vormetric方案,確保服務不中斷、資料安全兩者兼得

    Thales推Vormetric方案,確保服務不中斷、資料安全兩者兼得

    (左起) Thales eSecurity銷售經理涂敬智、亞太區市場策略總監 葉維屏與亞利安科技總經理范梓芳

    (左起) Thales eSecurity銷售經理涂敬智、亞太區市場策略總監 葉維屏與亞利安科技總經理范梓芳

     

    隨著數位轉型浪潮席捲,影響所及,多數企業都轉向資料驅動的業務發展模式;根據2018 Thales資料威脅報告(Data Threat Report)顯示,現今高達94%企業將機敏資料運用於雲端、大數據、物聯網(IoT)、容器(Container)、區塊鏈及行動環境,而在新科技應用過程,連帶衍生更多資料,讓資料變得既多且散,意謂可能遭受攻擊的接觸面擴大,亟需搭建更佳的資安控管機制以抵禦風險。

    Thales eSecurity亞太區市場策略總監葉維屏指出,當資料產量變大,代表儲存需求攀高,使公有雲儲存服務廣受青睞,甚至不少企業為分散風險,同時使用多雲服務,因而帶來更多挑戰。譬如企業為增進資料流動,有時需將A雲的資料搬遷至B雲,按理說應該進行資料解密、再重新加密的程序,但此舉耗時甚久,可能造成服務停機時間過長,企業難以承受,於是採取權宜之計,先將解密後資料放入暫存區,再慢慢加密、慢慢搬遷,以避免服務中斷,殊不知這些暫存的明碼資料,卻可能帶來莫大資安危機。

    許多企業都期盼有兩全其美的方法,可同時兼顧安全性、及可用性,無奈長期以來始終難以達成。為此,Thales eSecurity Vormetric透明加密(VTE)解決方案,特別開發「免停機背景加密(Live Data Transformation;LDT)」功能,確保加解密的過程不會影響業務運行,成為Thales eSecurity近期的行銷亮點。

     

    免停機背景加密,讓停機時間降到最低

    葉維屏表示,從早期至今,許多企業習慣藉由「邊界防護」方式守護資料中心與資料安全,而業務或營運單位為了提升工作效率,常採用「影子IT」繞過資安管控,導致防護失效,資安漏洞門戶洞開。

    事實上,企業的核心資產正是機敏資料,只要能善用資料加密工具,無論資料在組織內部或外部雲端服務間流動,都能全程受到嚴謹保護,進而將資料外洩風險減至最低。持平而論,多數企業並非不知道資料加密的效用,但以往之所以在用與不用之間徬徨,主要還是怕干擾業務運行。

    「現在大家意識到定期更換密碼的重要性,也將此列為常態工作,那麼用於保護資料的重要金鑰,怎麼可以永不更換?」葉維屏重申,若按最佳實際原則,企業每隔半年、至多一年,即需換置金鑰,但過去礙於業務考量大多無法做到,如今藉由Vormetric VTE與LDT總算帶來轉寰契機,且資料加密對現有系統及應用程式效能只會產生輕微影響、甚至毫無影響。

    Thales eSecurity臺灣區銷售經理涂敬智說,整體而言,Vormetric是一套完整的資料保護方案,除了藉由VTE滿足前端的透明加密需求外,也提供DSM(Data Security Manager)金鑰集中管理系統,包括加解密、金鑰管理等功能,都能透過單一平臺實現,企業無需大費周章修改應用程式或工作流程,就能簡單快速達到資料保護的目標。

    不僅如此,針對近年駭客假借特權帳戶身份、遂行資料竊取之實,Vormetric也提供特權帳戶管理的反制措施,若企業政策規定,Root、Admin等管理者僅能執行維護網路,禁止碰觸資料,那麼當駭客企圖以這些身份進行竊資行為時,就會立即遭到攔阻。

     

    成立在地銷售團隊,搶攻資料保護商機

    葉維屏強調,臺灣是Thales eSecurity重視的策略性市場,一直以來都與總代理商亞利安科技等在地夥伴緊密結合,不斷把新的資料保護觀念與方案,推廣給臺灣的政府、企業、金融等用戶。而臺灣用戶近年紛紛導入雲端、大數據、IoT、區塊鏈等新興應用,開始在愈來愈多的異質環境使用機敏資料;加上帶有高罰則的歐盟GDPR上路,導致法遵壓力增高,所以急需提高資料保護層級,有鑑於此,Thales eSecurity於今年(2018)正式設立臺灣的在地銷售團隊,涂敬智便是主要成員之一。

    亞利安科技總經理范梓芳,對於Thales eSecurity增設臺灣辦公室之舉深表認同,著眼點之一,在於資通安全管理法施行細則草案中,特別規定靜態資料(Data at Rest)必須做加密,當然企業可選用Vormetric VTE、或儲存系統原生的加密機制來滿足目標,但無論加密機制為何,終究都會面臨金鑰保護議題,顯見Vormetric DSM集中化管理平臺的潛在需求甚大,亟待原廠就近與通路夥伴並肩作戰,強化推廣成效。

    另外值得一提的是,過去十多年來,Thales基於支付安全與金鑰管理所提供的高效能硬體安全模組(HSM)產品大多只為金融單位所用,但伴隨IoT、區塊鏈等應用增溫,對於金鑰管理、保護的需求勢必逐步增加,可以預期HSM市場仍有相當大的成長空間。

     

    資料來源:iThome

     

    進一步了解  Thales Vormetric 資料保護解決方案

    業界唯一,Imperva 連續五年蟬聯 Gartner 魔力象限 WAF 領導者

    業界唯一,Imperva 連續五年蟬聯 Gartner 魔力象限 WAF 領導者


    國際權威調研機構 Gartner 日前公布 2018 Magic Quadrant Web Application Firewall (WAF) 報告,Imperva 連續五年榮登領導象限,展現其領頭羊的產業地位。

    Imperva 結合本地端(on-premises)應用程式、雲端WAF、共享威脅情資與彈性的計價模式,使其再度穩坐 Gartner MQ WAF 領導象限,成為企業保護網站及應用程式的最佳選擇。

    最近新推出的Attack Analytics 雲端AI告警分析系統,以及依帳號分權的管控功能,讓 Imperva 提供更靈活的部署選擇,讓企業能在日新月異的IT環境下,維持網路應用程式全方位的防護。


    網路應用程式攻擊是資料外洩的主要原因

    依據 2018 Verizon 資料外洩調查報告(DBIR),網路應用程式攻擊曾是資料外洩最主要的原因。目前為止,今年共有 2,216 件以上的資料外洩事件,其中有48%來自駭客攻擊,而阻斷服務攻擊(DoS)則是最主要的攻擊方式。
    數據統計固然能幫助我們了解攻擊的型態,但 DBIR 報告同時也提醒我們「應減少對事件量的關注,並了解現在資料外洩的發生率已和死亡率不相上下了。」


    Imperva 提供企業應用程式更安全的防護

    當企業將應用程式移轉到公、私有雲的基礎建設中,選擇能適用於各種雲端服務供應商或各種內部部署的解決方案也日益重要,而 Imperva WAF 系列產品正符合這樣的需求。



    持續前進與提升

    身為全球網路防護的領導品牌,Imperva 持續提升WAF產品在本地端及雲端WAF服務的彈性配置。此外,Attack Analytics 雲端AI告警分析系統的推出,也讓 Imperva 用戶在分析資安事件上,有更高的準確度,能將成千上萬的告警縮減至少數幾個可採取措施的簡要說明。

     

    了解更多內容,歡迎下載 2018 Gartner MQ WAF 評比報告