خيارات شهادة توقيع الرمز
https://stackoverflow.com/questions/252180
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد تم تكليفي بمهمة شراء شهادة رقمية لشركتي للتوقيع على الكود الخاص بنا.نقوم بتطوير التطبيقات في مجال Microsoft - معظمها تعتمد على WPF أو الويب.
لقد بحثت في الخيارات ووجدت أن سعر Comodo جيد وسريع الاستجابة، ونحن على استعداد للمضي قدمًا وشراء شهادة من خلالهم.ومع ذلك، يوجد في نموذج الاشتراك العديد من خيارات المفاتيح الخاصة التي لست متأكدًا منها، وهي:
CSP
- مزود التشفير لقاعدة Microsoft
- مزود تشفير البطاقة الذكية من Microsoft
- موفر التشفير المحسن من Microsoft v1.0
- موفر تشفير برامج Microsoft
حجم المفتاح
- 1024
- 2048
- 4096
قابلة للتصدير؟
- نعم / لا
المستخدم محمي؟
- نعم / لا
فقط أتساءل ماذا يعني كل هذا، وما هي أفضل الخيارات لمتطلباتنا؟سيكون موضع تقدير أي نصيحة / اقتراحات
شكرا أكوام جريج
المحلول
بالنسبة إلى "معظم الأغراض"، يوصى بالخيارات التالية:
Microsoft Base Cryptographic Provider Size:2048 تصدير:نعم محمي المستخدم:نعم
لأكون صادقًا، لست على دراية بمزودي خدمات الاتصالات المختلفين، لكن Base يقوم بهذه المهمة في كل مرة نيابةً عني.
حجم المفتاح يجعل من الصعب كسر المفاتيح، ولكن أكثر من 2048 بت لمفتاح قصير إلى متوسط المدى (3-5 سنوات) يعتبر كافيًا (IMHO).
يتيح لك التصدير إمكانية تصدير زوج المفتاح/الشهادة الخاص - وهو ضروري لعمل نسخة احتياطية منه!
تعني "حماية المستخدم" أنه يجب عليك إدخال كلمة مرور في كل مرة تريد فيها استخدام الشهادة - وهو ما يوصى به بشدة لمنع التوقيع غير المقصود أو الضار للتعليمات البرمجية مع شهادتك.
أتمنى أن يساعدك هذا.
نصائح أخرى
تاريخيًا، كان لدى موفر التشفير "الأساسي" قيود مصطنعة على أطوال المفاتيح، وتم إزالة الحد من قبل الموفر "المحسّن".سمح هذا لشركة Microsoft بالامتثال لقوانين التصدير الأمريكية، وإزالة الموفر المحسن في إصدارات معينة.
على ما يبدو، مع التغييرات في قانون التصدير، قامت Microsoft بإزالة القيد من الموفر الأساسي، مما سمح بأطوال مفاتيح أطول أيضًا (ولكنها احتفظت بالاسم من أجل التوافق).
فيما يتعلق بـ "موفر تشفير برامج Microsoft" - أعتقد أنه يجب أن يكون "قويًا" (وليس "برنامجًا").
من الناحية العملية حيث أعمل، توفر القاعدة طول مفتاح يبلغ 512 بت (والذي لم يعد مدعومًا أو يعمل على خوادم MS بعد التصحيح الأخير - اقرأ على KB2661254).تريد 1024 على الأقل، لكن 2048 هو الخيار الأفضل.
احذر:المفتاح الخاص القابل للتصدير مطلوب للنسخ الاحتياطي و/أو إحضاره إلى خادم آخر (ومطلوب لتوقيع التعليمات البرمجية/البرامج النصية على ما أعتقد)، ولكنه يقدم إمكانية وقوعه في الأيدي الخطأ، وعندها يمكن توقيع البرامج النصية غير المرغوب فيها وتشغيلها على جهازك الخوادم بمجرد أن تثق بهذه الشهادة!انتبه جيدًا إلى مكان/كيفية تخزينها واستخدم عبارة مرور قوية!
التأكد مرتين:ستحتاج على الأرجح إلى تثبيت Trusted Root CA Cert (المرجع المصدق الذي أصدر شهادة توقيع الكود) بالإضافة إلى شهادتك نفسها في "الناشرون الموثوقون" للحصول على نصوص PowerShell الموقعة للتشغيل.
