证书密钥对必须在到达FIPS 140-2 Level2 或EAL4+通用规范以及更高规范的硬件加密模块中生成并存储。此
本次代码签名基线要求(CSBR)处理了EV代码签名和OV代码签名证书的颁布问题。在此之前,CA/B论坛对EV代码签名和OV代码签名证书有不同的私钥维护要求。例如,EV代码签名证书是存储在Ukey中寄送到用户手中,而非EV代码签名(即OV代码签名)的密钥对能够在软件中生成,这就很简单导致私钥被分发,然后增加了私钥走漏的潜在危险。
从 2022 年 11 月 15 日起,代码签名证书密钥对必须在到达FIPS 140-2 Level 2 或EAL4+通用规范以及更高规范的硬件加密模块中生成并存储。这就意味着不管OV代码签名仍是EV代码签名证书,他们的密钥对都需在一个硬件设备中生成,且不支撑导出私钥。无疑,这将有助于最大极限地下降私钥走漏的可能性。