Безопасный ключ Authenticode на сервере сборки

Question

Я пытаюсь выяснить, как лучше настроить подпись Authenticode на моем рабочем месте. Последствия для безопасности меня напрягают.

Сначала я подумал, что лицо, управляющее ключом, должно установить его на сервер сборки и защитить его, чтобы к нему мог получить доступ только учетная запись сборки.

Это кажется достаточно безопасным, но на самом деле это не так. Да, вы не можете украсть сертификат на этом этапе, но если вы можете создать сборку, вы можете получить учетную запись сборки для подписи любого двоичного файла.

Кто-нибудь, кто знаком с процессом, дает мне несколько советов?

Answer 1

Действительно, если ключ доступен для использования в учетной записи сборки, он доступен для учетной записи администратора и может использоваться для подписи другого файла. Все, что вы даете другим, больше не ваше. Если вы не можете защитить сервер от доступа других людей, значит, вы не полностью контролируете сервер, и это оставляет возможность для неправильного использования. Честно говоря, я не могу представить единственного способа (кроме переноса подписи в другую доверенную систему) защитить ключ от неправильного использования. Даже когда ключ не может быть извлечен или скопирован (скажем, он помещен в криптокен), он все равно может быть использован каким-либо образом.