Online security draait vaak om, de naam verraadt het al, online diensten. SSL certificaten beschermen gebruikers van websites en online diensten tegen afluisteren, hackers, en andere veiligheidslekken. Maar digitale producten die niet per se online gebruikt hoeven te worden, moeten desondanks ook te beveiligen zijn. De oplossing: code signing.

Code signing producten zijn in te zetten om software te voorzien van een echtheidsstempel, waardoor gebruikers kunnen zien dat de software van de leverancier afkomstig is, en niet in de tussentijd is gewijzigd. Wanneer de code is aangetast, is de handtekening meteen niet meer geldig. De meeste mensen komen regelmatig in aanraking met ondertekende software, ook al hebben ze het misschien niet door: denk maar eens aan de pop-up wanneer u software wilt installeren, waar de naam en gegevens van de producent van de software in vermeld staan. Code signing komt goed van pas bij producten die voornamelijk verspreid worden door downloads, omdat er niet altijd in één oogopslag te zien is of de bron waar vandaan gedownload wordt ook echt veilig is. Zo wordt code signing veel ingezet voor kleine softwarepakketjes, zoals Java applets of macro’s voor Microsoft Office producten, die op hun beurt weer gebruikt worden door grotere softwareproducten.

Van game consoles tot koelkasten
In sommige gevallen wordt code signing actief ingezet om misbruik van een systeem te voorkomen: zo zijn er producenten van game consoles die alleen software toestaan die ondertekend is met hun key. Ontbreekt die handtekening, zal de console de software niet eens op kunnen starten, en is het spel dus niet speelbaar. Vaak wordt deze techniek ook ingezet om te voorkomen dat games illegaal gekopieerd worden: bij het kopiëren vervallen bepaalde instellingen, en daarmee ook de handtekening, waardoor de console kan zien dat het spelletje niet vanaf een originele disk wordt gestart.

Daarnaast wordt code signing tegenwoordig steeds belangrijker dankzij het Internet of Things. Door een code signing certificaat toe te voegen aan de firmware van het product kan er verzekerd worden dat het product werkt naar behoren en er niet geknoeid is met de software. Daarnaast kan er met een code signing certificaat ook zekerheid worden gegeven dat de onvermijdelijke software- en firmware updates ook echt van de fabrikant afkomstig zijn.

Ook producenten van mobiele apps maken veelvuldig gebruik van code signing producten: zo stelt Android de eis dat apps digitaal ondertekend zijn voor ze geïnstalleerd kunnen worden, en staan Apple en Google allebei niet toe dat apps worden toegevoegd aan hun app stores zonder dat deze zijn ondertekend met een certificaat.

Hoe werkt code signing?
Code signing werkt in de basis hetzelfde als een SSL certificaat op een website: met een combinatie van een private en een public key. Met behulp van de public key kan de auteur van de software vervolgens worden gecontroleerd. In tegenstelling tot gewone SSL certificaten voor online content blijven signing certificaten wel geldig voor de producten die ze ondertekend hebben, zelfs nadat het certificaat zelf is verlopen. Met behulp van timestamps wordt de handtekening onder de software gemarkeerd. Mocht een certificaat om wat voor reden dan ook als ongeldig worden verklaard, kan er met behulp van die timestamp worden gekeken of het veiligheidslek ook al in het certificaat zat ten tijde van de ondertekening.

Er zijn verschillende soorten signing producten verkrijgbaar. Bent u benieuwd naar de mogelijkheden? Kijk dan op onze website of neem contact op met onze sales afdeling via sales@networking4all.com of +31 (0)20 788 10 30.

Lees relevante artikelen

Categorie  SSL & Security | Tags  code signing Security ssl