近日，CA/B論壇對程式碼簽名證書私鑰做出了變更要求：證書金鑰對必須在達到FIPS 140-2 Level 2 或EAL4+通用標準以及更高標準的硬體加密模組中生成並存儲。此次變更旨在增強保護程式碼簽名證書私鑰。

本次程式碼簽名基線要求（CSBR）解決了EV程式碼簽名和OV程式碼簽名證書的頒發問題。在此之前，CA/B論壇對EV程式碼簽名和OV程式碼簽名證書有不同的私鑰保護要求。例如，EV程式碼簽名證書是儲存在Ukey中寄送到使用者手中，而非EV程式碼簽名（即OV程式碼簽名）的金鑰對可以在軟體中生成，這就很容易導致私鑰被分發，從而增加了私鑰洩露的潛在風險。

程式碼簽名證書私鑰變更要求

從 2022 年 11 月 15 日起，程式碼簽名證書金鑰對必須在達到FIPS 140-2 Level 2 或EAL4+通用標準以及更高標準的硬體加密模組中生成並存儲。這就意味著不論OV程式碼簽名還是EV程式碼簽名證書，他們的金鑰對都需在一個硬體裝置中生成，且不支援匯出私鑰。

（CAB論壇 Ballot CSC-13截圖）

程式碼簽名證書使用者而言，他們就可以通過操作硬體加密模組，讓使用方身份具有更高的靈活性。

• 擁有安全令牌或硬體安全模組（HSM）的使用者
• 雲服務商
• CA機構或其他受信任的簽名服務商

此外，CA必須使用以下任意一種方法來驗證或確保私鑰是在硬體加密模組中生成的：

• CA 提供具有預生成金鑰對的硬體加密模組；
• 使用者程式碼證書請求需要通過遠端驗證硬體加密模組中的金鑰；
• 使用者使用CA強制規定的加密庫和合規的硬體加密模組組合；
• 使用者提供內外部IT審計，表明它僅使用合規的硬體加密模組生成金鑰對；
• 使用者提供一份通過了雲端金鑰保護解決方案訂閱和資源配置保護硬體加密模組中私鑰的報告；
• CA所認可的可證明金鑰對是在使用者託管或基於雲的硬體加密模組中生成的審計員簽署的報告；
• 使用者提供了符合程式碼簽名基線要求的協議證明。

變更程式碼簽名證書私鑰基線要求是為了減少程式碼簽名證書私鑰洩露，從而降低程式碼簽名依賴者在系統中安裝惡意軟體的風險。