Obtuve el certificado de firma de código de validación extendida de Global Sign enlace
Enviaron un token USB en el que instalé el certificado para ... o eso es lo que creo que hice.
Mi pregunta es (¿cómo) pueden los desarrolladores remotos usar ese certificado o la firma ahora está limitada exclusivamente a mi máquina / USB?
Cualquier ayuda es apreciada. Gracias.
Para firmar, necesita la clave privada y el certificado. Parece que la clave privada está en el USB, pero no puedo estar seguro.
Las mejores prácticas son mantener la clave privada, bueno, mantenerla muy privada. Por lo general, solo se almacena en una sola máquina y se utiliza un flujo de trabajo automatizado para copiar archivos binarios en esa máquina para firmar. Esa máquina debe ser lo más vainilla posible para reducir la posibilidad de que sea vulnerable a un ataque.
El motivo de tal cuidado es que a los autores de malware realmente les gusta que firmen su malware con una clave de firma de código válida y confiable. Hay un caso famoso donde, a pesar de la gran seguridad, la clave privada de Adobe se utilizó para firmar malware Ahora, la clave de firma de código de Adobe es mucho más atractiva para un atacante que la suya debido al hecho de que muchas personas ya le han dicho a su computadora que confíe en la clave de Adobe, pero las prácticas de seguridad básicas como las descritas anteriormente siguen siendo apropiadas. Recuerde que la reputación de su empresa está en juego si termina de firmar malware con su clave.
Lea otras preguntas en las etiquetas usb-drive token code-signing