Sdílet prostřednictvím

Správa důvěryhodných podpisových certifikátů

  • Článek

Tento článek popisuje důvěryhodné podpisové certifikáty, včetně jejich dvou jedinečných atributů, procesu správy životního cyklu s nulovým dotykem, důležitosti časového razítka countersignatur a akcí monitorování a odvolání aktivních hrozeb od Microsoftu.

Certifikáty používané v důvěryhodné podpisové službě se řídí standardními postupy pro podpisové certifikáty kódu X.509. Aby služba podporovala zdravý ekosystém, zahrnuje plně spravované prostředí pro certifikáty X.509 a asymetrického klíče pro podepisování. Plně spravované prostředí důvěryhodného podepisování poskytuje všechny akce životního cyklu certifikátů pro všechny certifikáty v prostředku profilu důvěryhodného podpisového certifikátu.

Atributy certifikátu

Důvěryhodné podepisování používá typ prostředku profilu certifikátu k vytvoření a správě certifikátů X.509 v3, které používají důvěryhodní zákazníci podepisování k podepisování. Certifikáty odpovídají standardu RFC 5280 a příslušným prostředkům CPS (PkI Services Certificate Policy) a cps (Certification Practice Statements), které jsou v úložišti Služeb PKI Společnosti Microsoft.

Kromě standardních funkcí zahrnují profily certifikátů v důvěryhodném podepisování následující dvě jedinečné funkce, které pomáhají zmírnit rizika a dopady spojené se zneužitím nebo zneužitím podepisování certifikátů:

  • Krátkodobé certifikáty
  • Ověření identity odběratele – Rozšířené použití klíče (EKU) pro připnutí trvalé identity

Krátkodobé certifikáty

Aby se snížil dopad zneužití podpisu a zneužití, obnovují se důvěryhodné podpisové certifikáty každý den a jsou platné pouze 72 hodin. V těchto krátkodobých certifikátech mohou být akce odvolání tak akutní jako jeden den nebo co nejširší, jak je potřeba k pokrytí všech incidentů zneužití a zneužití.

Pokud se například zjistí, že odběratel podepsal kód, který byl malwarem nebo potenciálně nežádoucí aplikací (PUA), jak je definováno v části Jak Microsoft identifikuje malware a potenciálně nežádoucí aplikace, lze akce odvolání izolovat a odvolat pouze certifikát, který podepsal malware nebo PUA. Odvolání ovlivní pouze kód podepsaný pomocí daného certifikátu v den, kdy byl vydán. Odvolání se nevztahuje na žádný kód, který byl podepsán před daným dnem nebo po daném dni.

Ověření identity odběratele – EKU

Certifikáty pro podepisování koncových entit X.509 se běžně obnoví na pravidelné časové ose, aby se zajistila klíčová hygiena. Kvůli dennímu prodlužování platnosti certifikátu důvěryhodného podepisování není připnutí důvěryhodnosti nebo ověření na certifikát koncové entity, který používá atributy certifikátu (například veřejný klíč) nebo kryptografický otisk certifikátu (hash certifikátu). Hodnoty rozlišujícího názvu subjektu (DN) se také můžou v průběhu životnosti identity nebo organizace měnit.

K vyřešení těchto problémů poskytuje důvěryhodné podepisování hodnotu trvalé identity v každém certifikátu, který je přidružený k prostředku ověření identity předplatného. Hodnota trvalé identity je vlastní EKU, která má předponu 1.3.6.1.4.1.311.97. a za ní následuje více hodnot oktetů, které jsou jedinečné pro prostředek ověření identity, který se používá v profilu certifikátu. Několik příkladů:

  • Příklad ověření identity veřejného vztahu důvěryhodnosti

    Hodnota 1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583 označuje důvěryhodného odběratele podepisování, který používá ověření identity veřejného vztahu důvěryhodnosti. Předpona 1.3.6.1.4.1.311.97. je typ podepisování kódu důvěryhodného podpisového veřejného vztahu důvěryhodnosti. Hodnota 990309390.766961637.194916062.941502583 je jedinečná pro ověření identity odběratele pro veřejný vztah důvěryhodnosti.

  • Příklad ověření identity privátní důvěryhodnosti

    Hodnota 1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135 označuje důvěryhodného odběratele podepisování, který používá ověřování identity privátní důvěryhodnosti. Předpona 1.3.6.1.4.1.311.97.1.3.1. je typ podepisování kódu důvěryhodného podpisového privátního vztahu důvěryhodnosti. Hodnota 29433.35007.34545.16815.37291.11644.53265.56135 je jedinečná pro ověření identity odběratele pro privátní vztah důvěryhodnosti.

    Vzhledem k tomu, že pro podepisování zásad integrity kódu (CI) v programu Windows Defender můžete použít ověřování identity privátní důvěryhodnosti, mají jinou předponu EKU: 1.3.6.1.4.1.311.97.1.4.1. Hodnoty přípony ale odpovídají hodnotě trvalé identity pro ověření identity odběratele pro privátní vztah důvěryhodnosti.

Poznámka:

Trvalé identity EKU v nastavení zásad CI WDAC můžete použít k připnutí důvěryhodnosti k identitě v důvěryhodném podepisování. Informace o vytváření zásad WDAC naleznete v tématu Použití podepsaných zásad k ochraně řízení aplikací v programu Windows Defender před manipulací a Průvodce řízením aplikací v programu Windows Defender.

Všechny certifikáty důvěryhodné veřejné důvěryhodnosti obsahují 1.3.6.1.4.1.311.97.1.0 také klíč EKU, který se dá snadno identifikovat jako veřejně důvěryhodný certifikát z důvěryhodného podepisování. Kromě podepisování kódu (EKU) jsou k dispozici všechny jednotky EKU (1.3.6.1.5.5.7.3.3EKU) pro identifikaci konkrétního typu použití pro příjemce certifikátů. Jedinou výjimkou jsou certifikáty, které jsou typem profilu certifikátu CI Policy důvěryhodného podpisového podpisu, ve kterém není k dispozici podpis kódu EKU.

Správa životního cyklu certifikátů s nulovým dotykem

Cílem důvěryhodného podepisování je zjednodušit podepisování co nejvíce pro každého předplatitele. Hlavní součástí zjednodušení podepisování je poskytnutí plně automatizovaného řešení správy životního cyklu certifikátů. Funkce správy životního cyklu důvěryhodného podpisového certifikátu s nulovým dotykem automaticky zpracovává všechny standardní akce certifikátu za vás.

Patří mezi ně:

  • Zabezpečené generování klíčů, úložiště a využití v hardwarových kryptografických modulech FIPS 140-2 Level 3, které spravuje služba.
  • Denní prodlužování platnosti certifikátů, abyste měli vždy platný certifikát pro podepsání prostředků profilu certifikátu.

Každý certifikát, který vytvoříte, a problém se zaprotokoluje na webu Azure Portal. Na portálu můžete zobrazit datové kanály protokolování, které zahrnují sériové číslo certifikátu, kryptografický otisk, datum vytvoření, datum vypršení platnosti a stav (například Aktivní, Vypršela platnost nebo Odvolání).

Poznámka:

Důvěryhodné podepisování nepodporuje import nebo export privátních klíčů a certifikátů. Všechny certifikáty a klíče, které používáte v rámci důvěryhodného podepisování, se spravují uvnitř modulů hardwarového kryptografie provozovaného na úrovni FIPS 140-2 Level 3.

Čítače časového razítka

Standardním postupem při podepisování je řadit všechny podpisy pomocí časového razítka kompatibilního s dokumentem RFC 3161. Vzhledem k tomu, že důvěryhodné podepisování používá krátkodobé certifikáty, je pro podpis časového razítka důležité, aby podpis byl platný i po dobu životnosti podpisového certifikátu. Countersignature časového razítka poskytuje kryptograficky zabezpečený token časového razítka od autority TSA (Time Stamping Authority), která splňuje standardy požadavků směrného plánu podepisování kódu (CSBRs).

Countersignature poskytuje spolehlivé datum a čas, kdy došlo k podepsání. Pokud je protisignatura časového razítka uvnitř doby platnosti podpisového certifikátu a období platnosti certifikátu TSA, podpis je platný. Platnost je platná dlouho po vypršení platnosti podpisového certifikátu a certifikátu TSA (pokud některý z těchto certifikátů neodvolá).

Důvěryhodné podepisování poskytuje obecně dostupný koncový bod TSA na adrese http://timestamp.acs.microsoft.com. Doporučujeme, aby všichni předplatitelé důvěryhodného podepisování používali tento koncový bod TSA k tomuto přiřazení podpisů, které vytvoří.

Aktivní monitorování

Důvěryhodné podepisování vášnivě podporuje zdravý ekosystém pomocí monitorování aktivní analýzy hrozeb, aby neustále hledal případy zneužití a zneužití certifikátů veřejné důvěryhodnosti důvěryhodných předplatitelů podepisování.

  • V případě potvrzeného zneužití nebo zneužití se důvěryhodné podepisování okamžitě provede nezbytné kroky ke zmírnění a nápravě všech hrozeb, včetně cíleného nebo širokého odvolání certifikátu a pozastavení účtu.

  • Akce odvolání můžete provést přímo na webu Azure Portal pro všechny certifikáty, které jsou protokolovány v profilu certifikátu, který vlastníte.

Další krok

Nastavení důvěryhodného podepisování