Malware s vaším digitálním podpisem? EV CS ochrání vaši pověst.

14. 3. 2017 | Jindřich Zechmeister

Jeden ze 14 programů stažených z internetu je malware. Podpis vaší aplikace uživateli nezaručí, že otevíraný program není malware; digitálně podepsaný malware je existuje a je na vzestupu. Podepisuje se kradenými certifikáty, protože je snadné je získat. Jak vyřešit tyto závažené bezpečnostní problémy? Dozvíte se v našem článku.

Význam digitálního podpisu aplikací

Podpis aplikace Code Signing certifikátem zaručuje její původ, neměnnost a identitu vydavatele. Časové razítko u digitálního podpisu zaručí jeho platnost i po skončení platnosti podpisového certifikátu. Výhodou digitálního podpisu je tedy jasná záruka původu, identity vydavatele a neměnnosti aplikace od momentu podepsání. Podepisování aplikací je dnes standardem a obchody s aplikacemi pro chytré telefony podpis aplikace dokonce vyžadují.

Srovnání podepsané a nepodepsané aplikace ve Windows

Zatím samé výhody, podívejme se tedy i na druhou stranu problematiky podpisu. Víte, že i malware šířený na internetu má často platný digitální podpis? Může ho totiž použít každý. Digitální podpis aplikace tedy automaticky nemůže zaručovat její důvěryhodnost a je stále třeba dávat pozor, zda-li se nejedná o virus. Tuto kontrolu kromě antivirových programů zajišťuje i systém Windows, který aplikace posuzuje a vyhodnotí, zda-li je pro uživatele nebezpečné ji otevřít.

Věděli jste, že důvěryhodnost podepsané aplikace Windows posuzuje vlastními kritérii a často dochází k blokování i digitálně podepsaných aplikací?

Windows a SmartScreen filtr

Systém Windows umí blokovat nedůvěryhodné aplikace v Internet Exploreru 7 a novějších verzích pomocí SmartScreen filtru, který posuzuje každou staženou aplikaci podle její reputace. Od Windows 8 už není pouze součástí Internet Exploreru, ale funguje na úrovni celého systému. Je to užitečný nástroj, který už zablokoval 1,5 miliardy malwarových útoků, avšak snadno se může obrátit proti vám.

SmartScreen filtr blokuje i podepsané aplikace

SmartScreen filtr blokuje i podepsané aplikace, pokud nemají dostatečnou reputaci

SmartScreen blokuje i podepsané aplikace, pokud pro něj nejsou dostatečně důvěryhodné. Uživatel hlášení SmartScreen filtru právem věří, protože až 70 % hlášení je odůvodněných. Jste si jisti, že vaši aplikaci uživatel otevře, když ji SmartScreen zablokuje? Oprávněně si může myslet, že se jedná o malware.

Jak zabezpečit certifikát proti zneužití?

Malware si do počítače oběti nachází sofistikované cesty. Útočníci zneužívají bezpečnostních slabin vývojářů a s ukradenými certifikáty podepisují malware. Takové případy jsou katastrofou nejen pro oběť, ale zejména pro kompromitovaného vlastníka certifikátu. Jeho dobré jméno je navždy poškozeno. Chraňte vaši aplikaci a dobré jméno.

Při podpisu aplikace běžným Code Signing certifikátem využíváte soubor PFX, který obsahuje certifikát i privátní klíč. Soubor je sice chráněn heslem, ale možnost jeho prolomení není nijak omezena a je jen na útočníkových schopnostech, jak rychle se mu ho podaří uhádnout. Jak zamezit krádeži a zneužití certifikátu, které by měly na vaši reputaci a dobré jméno fatální dopad?

Riziko blokování aplikace a vaší kompromitace řeší EV podpis aplikace

Jak zabezpečit aplikaci, zajistit, aby nebyla blokovaná ve Windows, a zamezit kompromitaci certifikátu (a vaší pověsti)? Odpovědí na tyto otázky je EV Code Signing certifikát, který je novinkou v oblasti podepisování aplikací a softwarového vývoje. Přináší řešení zmíněných rizik.

Vaše aplikace nebude blokovaná

Známý zelený řádek dorazil i na Code Signing certifikáty. Jeho hlavní výhodou je okamžitá reputace podepsané aplikace ve SmartScreen. Windows nezablokují vámi podepsanou aplikaci, protože je maximálně důvěryhodná. Nemusíte se obávat toho, že vaši nově vydanou aplikaci systém Windows zablokuje, protože ji nezná!

Vyšší bezpečnost použití a ochrana proti krádeži

Druhá jeho výhoda je ve vyšší bezpečnosti použití. Certifikát pro EV podpis kódu je umístěn na hardwarovém tokenu a pro jeho použití (podepsání aplikace) je nutné znát jeho PIN. Útočník nemůže certifikát zneužít ani po ukradení tokenu, protože nezná heslo a po několika pokusech se token zablokuje.

HW token, který dostanete od CA kurýrem

HW token dostanete od CA kurýrem; pak si na něj stáhnete CS EV certifikát a budete ho používat k podpisu.

Code Signing EV certifikát je tak prakticky nemožné zneužít - ani po fyzické krádeži ho není zloděj schopen použít, protože neprolomí heslo pro použití tokenu. Srovnejte tento způsob uložení certifikátu s běžným podepisováním PFX souborem uloženým v počítači, který stačí vzdáleně ukrást z počítače nebo e-mailu jeho vlastníka (podepisování malwaru může začít).

Token je vám doručen kurýrem přímo od certifikační autority, ale ve chvíli doručení ještě neobsahuje privátní klíč ani certifikát. Jeho "aktivace" a uložení certifikátu proběhne až na vašem počítači.

Screenshot obslužné aplikace, kterou používáte s tokenem

Jak EV Code Signing certifikát získat?

SSLmarket nabízí EV Code Signing certifikát jako jediný v ČR a výrazně výhodněji než při koupi na webu Symantecu. Pomůžeme vám co nejdříve certifikát získat, aktivovat a použit. Certifikát lze objednat na našem webu a dobu vyřízení v současnosti odhadujeme na 10 a více dní. Po ověření vaší firmy a organizačního kontaktu je token doručen z USA kurýrem a aktivaci provede až jeho vlastník.

Poraďte se s námi, jak zvýšit bezpečnost svých aplikací a uložení certifikátu s privátním klíčem

SSLmarket disponuje zkušenostmi s podpisem aplikací, které získal díky mnoha vydaným Code Signing certifikátů svých zákazníků. Rádi vám pomůžeme s vytvořením PFX souboru, který potřebujete pro podpis aplikace.

Rádi vám též poradíme s bezpečností podpisu aplikací a souvisejících aspektů. Kontaktujte podporu SSLmarketu a zeptejte se, jaký přínos pro vás může podepisování EV CS certifikátem mít.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz