Delen via


Vertrouwde modellen voor ondertekeningsvertrouwen

In dit artikel wordt het concept van vertrouwensmodellen uitgelegd, de primaire vertrouwensmodellen die vertrouwde ondertekening biedt en hoe u deze kunt gebruiken in een breed scala aan ondertekeningsscenario's die door Trusted Signing worden ondersteund.

Vertrouwensmodellen

Een vertrouwensmodel definieert de regels en mechanismen voor het valideren van digitale handtekeningen en het waarborgen van de beveiliging van communicatie in een digitale omgeving. Vertrouwensmodellen definiëren hoe vertrouwen tot stand wordt gebracht en onderhouden binnen entiteiten in een digitaal ecosysteem.

Voor gebruikers van handtekeningen, zoals openbaar vertrouwde ondertekening van programmacode voor Microsoft Windows-toepassingen, zijn vertrouwensmodellen afhankelijk van handtekeningen met certificaten van een certificeringsinstantie (CA) die deel uitmaakt van het Microsoft-basiscertificaatprogramma. Daarom zijn vertrouwde handtekeningvertrouwensmodellen voornamelijk ontworpen ter ondersteuning van ondertekenings- en beveiligingsfuncties van Windows Authenticode die gebruikmaken van ondertekening van programmacode in Windows (bijvoorbeeld Smart App Control en Windows Defender Application Control).

Vertrouwde ondertekening biedt twee primaire vertrouwensmodellen ter ondersteuning van een breed scala aan handtekeningverbruik (validaties):

Notitie

U bent niet beperkt tot het toepassen van de vertrouwensmodellen die worden gebruikt in de ondertekeningsscenario's die in dit artikel worden beschreven. Vertrouwde ondertekening is ontworpen ter ondersteuning van Windows- en Authenticode-codeondertekening en toepassingsbeheer voor Windows-functies. Het ondersteunt breed andere ondertekenings- en vertrouwensmodellen buiten Windows.

Model voor openbare vertrouwensrelatie

Openbare vertrouwensrelatie is een van de twee vertrouwensmodellen die worden geleverd in Vertrouwde ondertekening en het meest gebruikte model is. De certificaten in het openbare vertrouwensmodel worden uitgegeven door de Microsoft Identity Verification Root Certificate Authority 2020 en voldoen aan de Microsoft PKI Services Third-Party Certification Practice Statement (CPS). Deze basis-CA is opgenomen in het basiscertificaatprogramma van een relying party, zoals het Microsoft Root Certificate Program, voor ondertekening van code en tijdstempels.

Public Trust-resources in Vertrouwde ondertekening zijn ontworpen ter ondersteuning van de volgende ondertekeningsscenario's en beveiligingsfuncties:

U wordt aangeraden openbare vertrouwensrelatie te gebruiken om elk artefact te ondertekenen dat u openbaar wilt delen. De ondertekenaar moet een gevalideerde juridische organisatie of persoon zijn.

Notitie

Vertrouwde ondertekening bevat opties voor 'test'-certificaatprofielen onder de verzameling Openbare vertrouwensrelaties, maar de certificaten worden niet openbaar vertrouwd. De certificaatprofielen voor openbare vertrouwensrelaties zijn bedoeld om te worden gebruikt voor inner-loop dev/test-ondertekening en mogen niet worden vertrouwd.

Private Trust-model

Private Trust is het tweede vertrouwensmodel dat wordt geleverd in Vertrouwde ondertekening. Het is voor opt-in trust wanneer handtekeningen niet breed worden vertrouwd in het ecosysteem. De CA-hiërarchie die wordt gebruikt voor resources voor vertrouwde ondertekening van persoonlijke vertrouwensrelaties, wordt niet standaard vertrouwd in een hoofdprogramma en in Windows. In plaats daarvan is het ontworpen voor gebruik in App Control voor Bedrijven -functies (voorheen Windows Defender Application Control, WDAC), waaronder:

Zie de quickstart voor vertrouwde ondertekening voor meer informatie over het configureren en ondertekenen van WDAC-beleid met behulp van een referentie voor vertrouwde ondertekening.

Volgende stap