Modelos de confiança de assinatura confiáveis
Este artigo explica o conceito de modelos de confiança, os principais modelos de confiança que a Assinatura Confiável fornece e como usá-los em uma ampla variedade de cenários de assinatura suportados pela Assinatura Confiável.
Modelos de confiança
Um modelo de confiança define as regras e os mecanismos para validar assinaturas digitais e garantir a segurança das comunicações num ambiente digital. Os modelos de confiança definem como a confiança é estabelecida e mantida dentro das entidades em um ecossistema digital.
Para consumidores de assinatura, como assinatura de código publicamente confiável para aplicativos do Microsoft Windows, os modelos de confiança dependem de assinaturas que tenham certificados de uma Autoridade de Certificação (CA) que faz parte do Programa de Certificados Raiz da Microsoft. Por esse motivo, os modelos de confiança de Assinatura Confiável são projetados principalmente para oferecer suporte à assinatura do Windows Authenticode e aos recursos de segurança que usam assinatura de código no Windows (por exemplo, Controle de Aplicativo Inteligente e Controle de Aplicativo do Windows Defender).
A Assinatura Confiável fornece dois modelos de confiança principais para dar suporte a uma ampla variedade de consumo de assinatura (validações):
Nota
Você não está limitado a aplicar os modelos de confiança usados nos cenários de assinatura descritos neste artigo. A Assinatura Confiável foi projetada para oferecer suporte à assinatura de código do Windows e Authenticode e aos recursos do Controle de Aplicativos para Windows. Ele suporta amplamente outros modelos de assinatura e confiança além do Windows.
Modelo de Confiança Pública
A Confiança Pública é um dos dois modelos de confiança fornecidos na Assinatura Confiável e é o modelo mais comumente usado. Os certificados no modelo Public Trust são emitidos pela Microsoft Identity Verification Root Certificate Authority 2020 e estão em conformidade com a Microsoft PKI Services Third-Party Certification Practice Statement (CPS). Essa autoridade de certificação raiz está incluída no programa de certificado raiz de uma terceira parte confiável, como o Microsoft Root Certificate Program, para assinatura de código e carimbo de data/hora.
Os recursos de Confiança Pública na Assinatura Confiável são projetados para oferecer suporte aos seguintes cenários de assinatura e recursos de segurança:
- Assinatura de código do aplicativo Win32
- Controlo de Aplicações Inteligentes no Windows 11
- /INTEGRITYCHECK assinatura de integridade forçada para binários executáveis portáteis (PE)
- Enclaves de segurança baseada em virtualização (VBS)
Recomendamos que você use a Confiança Pública para assinar qualquer artefato que queira compartilhar publicamente. O signatário deve ser uma organização legal ou indivíduo validado.
Nota
A Assinatura Confiável inclui opções para "testar" perfis de certificado na coleção Confiança Pública, mas os certificados não são confiáveis publicamente. Os perfis de certificado do Teste de Confiança Pública destinam-se a ser usados para assinatura de desenvolvimento/teste de loop interno e não devem ser confiáveis.
Modelo de Private Trust
A Confiança Privada é o segundo modelo de confiança fornecido na Assinatura Confiável. É para confiança de aceitação quando as assinaturas não são amplamente confiáveis em todo o ecossistema. A hierarquia de autoridade de certificação usada para recursos de Confiança Privada de Assinatura Confiável não é confiável por padrão em nenhum programa raiz e no Windows. Em vez disso, ele foi projetado para usar no Controle de Aplicativo para Empresas (anteriormente Windows Defender Application Control, WDAC) recursos, incluindo:
- Use a assinatura de código para maior controle e proteção com o WDAC
- Usar políticas assinadas para proteger o Controle de Aplicativo do Windows Defender contra adulteração
- Opcional: Criar um certificado de assinatura de código para o Controle de Aplicativo do Windows Defender
Para obter mais informações sobre como configurar e assinar políticas WDAC usando uma referência de Assinatura Confiável, consulte o Guia de início rápido de Assinatura Confiável.