Sdílet prostřednictvím

Důvěryhodné modely důvěryhodnosti podepisování

  • Článek

Tento článek vysvětluje koncept modelů důvěryhodnosti, primárních důvěryhodných modelů, které důvěryhodné podepisování poskytuje, a jejich použití v nejrůznějších scénářích podepisování, které důvěryhodné podepisování podporuje.

Modely důvěryhodnosti

Model důvěryhodnosti definuje pravidla a mechanismy pro ověřování digitálních podpisů a zajištění zabezpečení komunikace v digitálním prostředí. Modely důvěryhodnosti definují způsob vytváření a údržby důvěryhodnosti v rámci entit v digitálním ekosystému.

Pro uživatele podpisů, jako je podepisování veřejně důvěryhodného kódu pro aplikace Microsoft Windows, závisí modely důvěryhodnosti na podpisech, které mají certifikáty od certifikační autority (CA), která je součástí programu Microsoft Root Certificate Program. Z tohoto důvodu jsou modely důvěryhodnosti důvěryhodného podepisování navrženy primárně tak, aby podporovaly podepisování a zabezpečení windows Authenticode, které používají podepisování kódu ve Windows (například Inteligentní řízení aplikací a Řízení aplikací v programu Windows Defender).

Důvěryhodné podepisování poskytuje dva primární modely důvěryhodnosti, které podporují širokou škálu spotřeby podpisů (ověřování):

Poznámka:

Nejste omezeni na použití modelů důvěryhodnosti, které se používají ve scénářích podepisování popsaných v tomto článku. Důvěryhodné podepisování bylo navržené tak, aby podporovalo podepisování kódu Windows a Authenticode a řízení aplikací pro funkce Systému Windows. Kromě Windows podporuje také další modely podepisování a důvěryhodnosti.

Model veřejného vztahu důvěryhodnosti

Veřejný vztah důvěryhodnosti je jedním ze dvou modelů důvěryhodnosti, které jsou k dispozici v důvěryhodném podepisování a jedná se o nejčastěji používaný model. Certifikáty v modelu veřejného vztahu důvěryhodnosti jsou vydány od kořenové certifikační autority Microsoft Identity Verification Root Certificate Authority 2020 a vyhovují prohlášení o certifikační praxi třetích stran služeb PKI Services (CPS). Tato kořenová certifikační autorita je součástí programu kořenového certifikátu předávající strany, jako je program Microsoft Root Certificate Program, pro podepisování kódu a časové razítko.

Prostředky veřejného vztahu důvěryhodnosti v důvěryhodném podepisování jsou navržené tak, aby podporovaly následující scénáře podepisování a funkce zabezpečení:

K podepsání jakéhokoli artefaktu, který chcete sdílet veřejně, doporučujeme použít veřejný vztah důvěryhodnosti. Podepisující osoba by měla být ověřenou právní organizací nebo jednotlivcem.

Poznámka:

Důvěryhodné podepisování zahrnuje možnosti pro profily certifikátů "test" v kolekci Public Trust, ale certifikáty nejsou veřejně důvěryhodné. Profily certifikátů veřejného testu důvěryhodnosti jsou určeny k použití pro podepisování vývoj/testování vnitřní smyčky a neměly by být důvěryhodné.

Model privátní důvěryhodnosti

Privátní vztah důvěryhodnosti je druhý model důvěryhodnosti, který je k dispozici v důvěryhodném podepisování. Pokud podpisy nejsou v ekosystému široce důvěryhodné, je vhodné vyjádřit výslovný vztah důvěryhodnosti. Hierarchie certifikační autority, která se používá pro prostředky důvěryhodného podpisového privátního vztahu důvěryhodnosti, není ve výchozím nastavení důvěryhodná v žádném kořenovém programu a ve Windows. Místo toho je navržená tak, aby používala funkce Řízení aplikací pro firmy (dříve Windows Defender Application Control, WDAC), mezi které patří:

Další informace o konfiguraci a podepsání zásad WDAC pomocí odkazu důvěryhodného podepisování naleznete v rychlém startu Důvěryhodné podepisování.

Další krok

Nastavení důvěryhodného podepisování