Opzioni del certificato di firma del codice
https://stackoverflow.com/questions/252180
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Mi è stato assegnato il compito di acquistare un certificato digitale per la mia azienda per firmare il nostro codice. Sviluppiamo applicazioni nello spazio Microsoft, principalmente WPF o Web Based.
Ho studiato le opzioni e trovato Comodo a buon prezzo e reattivo, e siamo pronti per andare avanti e acquistare un certificato attraverso di loro .. tuttavia nel modulo di iscrizione ci sono varie opzioni di chiave privata che non sono troppo sicuro, vale a dire:
-
CSP
- Provider crittografico di Microsoft Base
- Provider di crittografia smart card Microsoft Base
- Provider di crittografia avanzata Microsoft v1.0
- Provider crittografico software Microsoft
-
Dimensione chiave
- 1024
- 2048
- 4096
-
esportabile?
- Sì / No
-
Utente protetto?
- Sì / No
Ti stai solo chiedendo cosa significhi tutto ciò e quali siano le migliori opzioni per le nostre esigenze? Eventuali consigli / suggerimenti sarebbero apprezzati
grazie mille Greg
Soluzione
Per " la maggior parte degli scopi " sono consigliate le seguenti opzioni:
Provider crittografico di Microsoft Base Dimensione chiave: 2048 Esportabile: Sì Protetto dall'utente: Sì
Ad essere sincero, non ho familiarità con i diversi CSP, ma la Base fa il lavoro ogni volta per me.
La dimensione della chiave rende le chiavi più difficili da decifrare, ma più di 2048 bit per una chiave da breve a medio termine (3-5 anni) è ampia (IMHO).
Esportabile ti consente di esportare la coppia chiave privata / certificato - essenziale per il backup!
Utente protetto significa che è necessario inserire una password ogni volta che si desidera utilizzare il certificato - altamente raccomandato per impedire la firma accidentale o dannosa di codice con il proprio certificato.
Spero che questo aiuti.
Altri suggerimenti
Storicamente, la "base" il provider crittografico aveva una limitazione artificiale sulle lunghezze delle chiavi e il "potenziato" il provider ha rimosso il limite. Ciò ha consentito a Microsoft di conformarsi alle leggi statunitensi sull'esportazione, rimuovendo il fornitore avanzato in determinate versioni.
Apparentemente, con le modifiche alla legge sull'esportazione, Microsoft ha rimosso la limitazione dal provider di base, consentendo anche lunghezze di chiave più lunghe (ma ha mantenuto il nome per compatibilità)
Informazioni su " Provider crittografico software Microsoft " - Penso che dovrebbe essere "forte". (non " software ").
Nella pratica in cui lavoro, base fornisce una lunghezza di chiave di 512 bit (che non è più supportata o non funziona su server MS dopo una recente patch - leggi su KB2661254). Vuoi almeno 1024, ma il 2048 è una scelta migliore.
Attenzione: la chiave privata esportabile è desiderata per il backup e / o il portamento su un altro server (e necessario per la firma di codice / script credo), ma introduce la possibilità che cada nelle mani sbagliate, per cui gli script indesiderati potrebbero essere firmato e eseguito sui server una volta che ti fidi di quel certificato! Fai molta attenzione a dove / come lo memorizzi e usa una passphrase forte!
Doppio controllo: è molto probabile che sia necessario il certificato CA radice attendibile (l'autorità di certificazione che ha emesso il certificato di firma del codice) installato e il certificato stesso in " Editori fidati " per ottenere l'esecuzione degli script firmati PowerShell.
