Ho ricevuto il certificato di firma del codice di convalida esteso da Global Sign link
Hanno inviato un token USB su cui ho installato il certificato ... o è quello che penso di aver fatto.
La mia domanda è (come) gli sviluppatori remoti possono usare quel certificato o la firma è ora limitata esclusivamente alla mia macchina / USB?
Qualsiasi aiuto è apprezzato. Grazie.
Per firmare, hai bisogno della chiave privata e del certificato. Sembra che la chiave privata sia sull'USB, ma non ne sono sicuro.
Le migliori pratiche sono di mantenere la chiave privata, beh, per mantenerla molto privata. Generalmente viene memorizzato solo su una singola macchina e viene utilizzato un flusso di lavoro automatizzato per copiare i binari su quella macchina per la firma. Quella macchina dovrebbe essere il più semplice possibile per ridurre la possibilità che sia vulnerabile a un attacco.
Il motivo di tale cura è che gli autori di malware desiderano davvero far firmare il malware con una chiave di firma del codice valida e affidabile. C'è un caso famoso in cui, nonostante la sicurezza molto strong, la chiave privata di Adobe è stata utilizzata per firma il malware. Ora la chiave di firma del codice di Adobe è molto più attraente per un utente malintenzionato rispetto al tuo perché molte persone hanno già detto al proprio computer di fidarsi della chiave di Adobe, ma le pratiche di sicurezza di base come quelle sopra descritte sono ancora appropriate. Ricorda che è la reputazione della tua azienda in gioco se si finisce per firmare malware con la tua chiave.
Leggi altre domande sui tag code-signing usb-drive token