코드 서명 인증서 옵션

Question

회사가 코드에 서명 할 수있는 디지털 인증서를 구매하는 작업이 할당되었습니다. 우리는 대부분 WPF 또는 웹 기반 인 Microsoft Space에서 응용 프로그램을 개발합니다.

나는 옵션을 조사하고 Comodo가 가격이 책정되고 반응이 좋은 것으로 나타 났으며, 우리는 그들을 통해 인증서를 구입할 준비가되었습니다. 그러나 가입 양식에는 너무 확실하지 않은 다양한 개인 키 옵션이 있습니다. , 즉 :

1. CSP

   • Microsoft Base Cryptographic 제공 업체
   • Microsoft Base Smart Card Crypto 제공 업체
   • Microsoft Enhanced Cryptographic Provider v1.0
   • Microsoft 소프트웨어 암호화 제공자

2. 키 크기

   • 1024
   • 2048
   • 4096

3. 수출 가능?

   • 예 아니오

4. 사용자 보호?

   • 예 아니오

이 모든 것이 무엇을 의미하는지 궁금해하고 요구 사항에 가장 적합한 옵션은 무엇입니까? 모든 조언/ 제안에 감사드립니다

감사합니다 Heaps Greg

Answer 1

"대부분의 목적"의 경우 다음 옵션이 권장됩니다.

Microsoft Base Cryptography 제공 업체 키 크기 : 2048 수출 가능 : 예 사용자 보호 : 예

솔직히 말해서, 나는 다른 CSP에 익숙하지 않지만 기지는 매번 일을합니다.

키 크기는 키를 갈라지기가 더 어렵지만 단기 또는 중기 키 (3-5 년)의 경우 2048 비트 이상 (IMHO)입니다.

내보낼 수있는 개인 키/인증서 쌍을 내보낼 수 있습니다 - 백업에 필수적입니다!

사용자 보호는 인증서를 사용하려는 경우마다 암호를 입력해야한다는 것을 의미합니다.

도움이 되었기를 바랍니다.

Answer 2

역사적으로 "기본"암호화 제공 업체는 키 길이에 인공적인 제한이 있었고 "향상된"제공 업체는 한계가 제거되었습니다. 이를 통해 Microsoft는 미국 수출법을 준수하여 특정 버전의 향상된 공급자를 제거 할 수있었습니다.

분명히 수출법의 변경으로 Microsoft는 기본 제공 업체의 제한을 제거하여 키 길이가 길어졌지만 호환성의 이름을 유지했습니다).

Answer 3

"Microsoft Software Cryptographic Provider"와 관련하여 - "강력한"(소프트웨어가 아님)이어야한다고 생각합니다.

실제로 내가 일하는 곳에서 Base는 512 비트 키 길이를 제공합니다 (최근 패치 후 MS 서버에서 더 이상 지원하거나 작업하지 않음 KB2661254). 당신은 적어도 1024를 원하지만 2048이 더 나은 선택입니다.

조심하십시오 : 내보내기 가능한 개인 키는 백업 및/또는 다른 서버에 가져 오는 데 필요합니다 (그리고 내가 생각하는 코드/스크립트에 서명해야 함). 그러나 바람직하지 않은 스크립트에 서명하고 실행할 수있는 잘못된 손에 떨어질 가능성을 소개합니다. 일단 서버에서 해당 증명서를 신뢰하십시오! 어디서, 어떻게 보관하고 강력한 암호를 사용하는지주의를 기울이십시오!

Double-Check : PowerShell 스크립트가 실행되도록 "신뢰할 수있는 게시자"에 설치된 신뢰할 수있는 Root CA Cert (Code Signing Cert를 발행 한 CA)가 필요할 가능성이 높습니다.