Menggunakan Jsign dan PKCS#11 untuk menandatangani artefak Windows

Panduan ini berisi petunjuk cara membuat kunci Cloud HSM untuk penandatanganan Microsoft Authenticode melalui PKCS#11 dan Jsign.

Kasus penggunaan

Alur kerja yang diuraikan dalam dokumen ini membantu memenuhi kebutuhan keamanan perusahaan berikut:

Menandatangani firmware dengan kunci pribadi yang dilindungi oleh HSM FIPS140-2 Level 3.
Menandatangani artefak Windows tanpa harus menggunakan signtool.

Sebelum memulai

Untuk menyelesaikan tutorial ini, Anda memerlukan hal berikut:

Komputer Windows dengan artefak yang ingin Anda tanda tangani. Pastikan bahwa Java diinstal pada komputer ini.
Cloud Shell atau mesin Linux Anda sendiri, untuk membuat permintaan penandatanganan sertifikat atau sertifikat. Di komputer ini, selesaikan konfigurasi yang didokumentasikan dalam Penyiapan OpenSSL.

Catatan: jika menggunakan Cloud Shell, mesin Anda akan bersifat sementara dan tidak ada perubahan di seluruh sistem (seperti apt-get) yang akan bertahan setelah sesi berakhir.

Jangan lupa menjalankan gcloud auth application-default login jika Anda belum melakukannya.

Di komputer Windows, download file JAR release Jsign terbaru menggunakan perintah powershell berikut:

wget https://github.com/ebourg/jsign/releases/download/JSIGN.VERSION/jsign-JSIGN.VERSION.jar -O jsign.jar

Konfigurasi

Membuat kunci penandatanganan yang dihosting Cloud KMS

Dengan menggunakan Cloud Shell atau komputer Anda sendiri, buat key ring Cloud KMS di project Google Cloud Anda menggunakan perintah berikut:

gcloud kms keyrings create "KEY_RING" --location "LOCATION"

Kemudian, buat kunci penandatanganan hardware EC-P256-SHA256 Cloud KMS di project Google Cloud Anda, di key ring yang baru saja Anda buat:

gcloud kms keys create "KEY_NAME" --keyring "KEY_RING" \
  --project "PROJECT_ID" --location "LOCATION" \
  --purpose "asymmetric-signing" --default-algorithm "ec-sign-p256-sha256" \
  --protection-level "hsm"

Download pengesahan HSM

Pengesahan HSM adalah bukti bahwa kunci Anda berada di HSM. Bukti ini mungkin diwajibkan oleh Certificate Authority (CA) Anda untuk menerbitkan sertifikat Extended Validation (EV).

Untuk mendownload pengesahan HSM yang terkait dengan kunci Cloud KMS Anda, selesaikan langkah-langkah berikut:

Di konsol Google Cloud, buka halaman Key Management.

Buka Key Management
Pilih key ring yang berisi kunci yang ingin Anda pengesahan, lalu pilih kunci tersebut.
Klik More untuk versi kunci yang ingin Anda pengesahan, lalu klik Verify attestation.
Dalam dialog Verify attestation, klik Download paket pengesahan. Tindakan ini akan mendownload file zip yang berisi rantai pengesahan dan sertifikat.

Lihat Mengurai pengesahan untuk mengetahui petunjuk lengkap tentang cara memverifikasi pengesahan yang didownload.

Membuat sertifikat yang ditandatangani sendiri dengan OpenSSL

Langkah ini bersifat opsional, tetapi membantu Anda memahami langkah berikutnya sebelum Anda menyelesaikan proses dan biaya pembelian sertifikat yang ditandatangani oleh Certificate Authority.

Dengan Cloud Shell atau mesin Anda sendiri, buat sertifikat yang ditandatangani sendiri dengan kunci penandatanganan yang dihosting Cloud KMS. Anda dapat menggunakan OpenSSL untuk menggunakan URI PKCS #11, bukan jalur file, dan mengidentifikasi kunci berdasarkan labelnya. Di library Cloud KMS PKCS #11, label kunci setara dengan nama CryptoKey.

openssl req -new -x509 -days 3650 -subj '/CN=test/' -sha256 -engine pkcs11 \
  -keyform engine -key pkcs11:object=KEY_NAME > ca.cert

Jika perintah ini gagal, PKCS11_MODULE_PATH mungkin tidak ditetapkan dengan benar, atau Anda mungkin tidak memiliki izin yang tepat untuk menggunakan kunci penandatanganan Cloud KMS.

Sekarang Anda seharusnya memiliki sertifikat yang terlihat seperti ini:

-----BEGIN CERTIFICATE-----
...
...
...
-----END CERTIFICATE-----

Salin sertifikat ke komputer Windows sehingga Anda dapat menggunakannya dengan Jsign untuk menandatangani artefak.

Membuat permintaan penandatanganan sertifikat baru

Anda dapat membuat permintaan penandatanganan sertifikat (CSR) untuk kunci penandatanganan Cloud HSM. Selesaikan langkah-langkah ini jika certificate authority Anda memerlukan CSR agar dapat membuat sertifikat baru untuk penandatanganan kode.

Gunakan Cloud Shell atau komputer Anda sendiri, jalankan perintah berikut:

openssl req -new -subj '/CN=CERTIFICATE_NAME/' DIGEST_FLAG \
  -engine pkcs11 -keyform engine \
  -key pkcs11:id=KEY_ID > REQUEST_NAME.csr

Ganti kode berikut:

CERTIFICATE_NAME: nama untuk sertifikat yang ingin Anda buat.
DIGEST_FLAG: flag yang menunjukkan jenis ringkasan. Gunakan -sha256, -sha384, atau -sha512, bergantung pada algoritma kunci.
KEY_ID: ID resource yang sepenuhnya memenuhi syarat dari versi kunci penandatanganan asimetris—misalnya, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/1.
REQUEST_NAME: nama untuk permintaan penandatanganan sertifikat.

Pastikan Anda menggunakan opsi -sigopt yang benar untuk jenis kunci yang Anda gunakan.

Menandatangani artefak dengan Jsign

Setelah berhasil membuat sertifikat (baik yang ditandatangani sendiri atau diperoleh dari Certificate Authority) dan menyalinnya ke komputer Windows, Anda dapat menggunakannya untuk menandatangani artefak Windows.

Untuk mengetahui daftar format file yang didukung, jalankan perintah jsign --help.

Gunakan Jsign untuk menandatangani artefak, menggunakan kunci Cloud KMS dan sertifikat Anda.

java -jar PATH_TO_JSIGN.JAR --storetype GOOGLECLOUD \
  --storepass $(gcloud auth application-default print-access-token) \
  --keystore projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING \
  --alias KEY_NAME \
  --certfile PATH_TO_CA.CERT
  PATH_TO_ARTIFACT_TO_SIGN

Ganti kode berikut:

PATH_TO_JSIGN.JAR: jalur ke jsign.jar.
PATH_TO_CA.CERT: jalur ke sertifikat ca.cert Anda.
PATH_TO_ARTIFACT_TO_SIGN: jalur ke artefak yang ingin Anda tanda tangani.

Untuk penjelasan mendetail tentang setiap opsi perintah, lihat dokumentasi Jsign resmi.