代码签名机制是基于PKI技术的成熟机制,帮助开发者和最终用户建立安全信任的软件发布环境和使用环境,用来保护知识产权和信誉,确认软件开发商的身份,证明自签名后软件未被修改和纂改,精确区分合法应用程序和恶意软件,保障开发者代码和消费者软件内容的安全性。
然而在代码签名的实际应用中,存在着诸多安全管理问题和安全风险,极易造成重大财务损失以及品牌损害。(如:使用不当,保管不严等造成密钥泄露;管理不善等造成证书泄露……)
看到这些新闻,是否让你感到焦虑?
■ 2010年6月 赫赫有名的震网病毒盗用著名IT企业的数字签名进行伪装。
■ 2013年4月,台湾FTP服务器中AMI Aptio UEFI BIOS源代码泄露,甚至包括AMI专用UEFI BIOS签名测试密钥
■ 2015年9月,D-link意外泄露私有代码签名密钥,黑客可用该密钥对恶意软件进行签名,使它更容易执行攻击。
■ 2015年,一家韩国移动软件开发商签名证书被盗,黑客用其签名一款暴力服务器消息块(SMB)扫描程序。
■ 2018年11月 腾讯智慧安全御见威胁情报中心发现,一款拥有用合法数字签名的挖矿木马在Windows和安卓系统中悄然流行,中毒电脑和手机会运行门罗币挖矿程序。
■ 2019年5月 三星SmartThings 敏感的源代码、证书和密钥一起泄露,包含了iOS和Android应用的私有证书。
为了轻松应对因保管不严等造成的签名密钥泄露、签名权限回收难、EV代码签名跨部门跨地区使用不便等代码签名的安全管理风险难题,这次来为大家解决问题的 “主角” 正是:
VSign
跨地区跨平台进行桌面和移动端应用签名
亚洲诚信经过多年研究,不断优化产品功能、打磨产品细节,自主研发的“VSign”代码签名解决方案完美实现跨平台跨地区畅享秒签、隔空签、多人签,帮助企业可以更从容地面对不可预知的变化趋势与潜在安全风险,并最终实现业务增长的目标。
满足全部安全需求
△ 消费者应用程序:无法随时掌控所有密钥使得企业和消费者易遭受攻击。
△ 内部应用程序:内部开发过程中的代码签名安全流程和掌控的复杂性和难度会带来重大风险。
△ 第三方市场:在许多开发人员之间共享密钥会使他们远离组织的可见性和控制。
选择VSign=安全性和高效性提升至90%
☞ 云端加密机:硬件安全模块内,安全可靠的管理存储密钥;
☞ 统一身份认证:支持 LDAP、OAuth 企业内部多个操作统一身份鉴权;
☞ 私有化部署:提供整套签名系统的私有化部署,更安全可控;
☞ 远程证书映射:远程证书映射到本地供其它签名客户端使用;
☞ 无缝的签名体验:实现桌面客户端和云端系统的完美结合,提供安全、快速、便捷的签名服务;
☞ 跨平台签名服务:支持多种文件格式,包括 Windows、Mac / iOS(按需激活)、Android(按需激活);
☞ 批量签名:用户通过设置签名规则可实现大批量的文件签名操作;
☞ 签名审计:完善的签名审计功能和责任追踪机制签名过程完全可见;
☞ 内置多品牌时间戳服务:提供多品牌时间戳服务,包括 DigiCert、TrustAsia、Symantec等,特别的,还包括 RFC3161 和 MS Authenticode;
