Modelos de confiança de Assinatura Confiável
Este artigo explica o conceito de modelos de confiança, os principais modelos de confiança que uma Assinatura Confiável fornece e como usá-los em uma ampla variedade de situações de assinatura às quais a Assinatura Confiável dá suporte.
Modelos de confiança
Um modelo de confiança define as regras e os mecanismos para validar assinaturas digitais e garantir a segurança das comunicações em um ambiente digital. Os modelos de confiança definem como a confiança é estabelecida e mantida nas entidades em um ecossistema digital.
Quanto aos consumidores de assinatura, como a assinatura de código publicamente confiável para aplicativos do Microsoft Windows, os modelos de confiança dependem das assinaturas que tenham certificados de uma Autoridade de Certificação (AC) que faça parte do Programa de Certificados Raiz da Microsoft. Por essa razão, os modelos de confiança da Assinatura Confiável são projetados principalmente para dar suporte aos recursos de assinatura e segurança do Authenticode do Windows que usam assinatura de código no Windows (por exemplo, Controle de Aplicativos Inteligentes e Controle de Aplicativos do Windows Defender).
A Assinatura Confiável fornece dois modelos de confiança principais para dar suporte a uma ampla variedade de consumo de assinaturas (validações):
Observação
Você não está limitado a aplicar os modelos de confiança usados nas situações de assinatura descritas neste artigo. A Assinatura Confiável foi projetada para dar suporte à assinatura de código do Windows e do Authenticode e ao Controle de Aplicativos para recursos do Windows. O recurso dá amplo suporte a outros modelos de assinatura e de confiança e vai além do Windows.
Modelo de Confiança Pública
Confiança Pública é um dos modelos de confiança fornecidos na Assinatura Confiável e o modelo mais usado. Os certificados no modelo de Confiança Pública são emitidos a partir da Autoridade de Certificação Raiz de Verificação de Identidade da Microsoft 2020 e estão em conformidade com a Declaração de Prática de Certificação (CPS) de Terceiros dos Serviços de PKI da Microsoft. Essa AC raiz está incluída no programa de certificados raiz de terceiros confiáveis para assinaturas de código e carimbos de data/hora, como o Programa de Certificados Raiz da Microsoft.
Os recursos de Confiança Pública na Assinatura Confiável foram projetados para dar suporte às seguintes situações de assinatura e recursos de segurança:
- Assinatura de código de aplicativos Win32
- Controle de Aplicativos Inteligentes no Windows 11
- Assinatura de integridade forçada para binários executáveis portáteis (PE) de /INTEGRITYCHECK
- Enclaves de Segurança Baseada em Virtualização (VBS)
Recomendamos que você use a Confiança Pública para assinar qualquer artefato que quiser compartilhar publicamente. O signatário deve ser uma pessoa física ou organização jurídica validados.
Observação
A Assinatura Confiável inclui opções para perfis de certificado de "teste" da coleção de Confiança Pública, mas os certificados não são publicamente confiáveis. Esses perfis de certificado de Teste de Confiança Pública se destinam a ser usados para assinaturas de teste/desenvolvimento de loop interno e não devem ser considerados confiáveis.
Modelo de Confiança Privada
Confiança Privada é o segundo modelo de confiança fornecido na Assinatura Confiável. Destina-se a uma confiança aceita opcionalmente quando as assinaturas não são consideradas amplamente confiáveis no ecossistema. A hierarquia de AC usada nos recursos de Confiança Privada da Assinatura Confiável não é considerada confiável por padrão, nem por qualquer programa raiz nem pelo Windows. Ao contrário, foi projetada para uso nos recursos do Controle de Aplicativos para Empresas (antigo Controle de Aplicativos do Windows Defender, WDAC), incluindo:
- Usar a assinatura de código para controle e proteção adicionados com o WDAC
- Usar políticas assinadas para proteger o Controle de Aplicativos do Windows Defender contra violação
- Opcional: criar um certificado de assinatura de código para o Controle de Aplicativos do Windows Defender
Para obter mais informações sobre como configurar e assinar as políticas do WDAC usando uma referência de Assinatura Confiável, confira Início rápido da Assinatura Confiável.