Método implementado por ordenador y un sistema informático para evitar problemas de seguridad en el uso de certificados digitales en la firma de códigos y un producto de programa informático de los mismos

• Main Authors: Barroso Berrueta, David, de la Rosa, Tero, Alonso Cebrián, José María, Guzmán Sacristán, Antonio, de los Santos, Sergio
• Format: Patent
• Language: Spanish
• Published: 02.01.2019
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC COMMUNICATION TECHNIQUE; ELECTRIC DIGITAL DATA PROCESSING; ELECTRICITY; PHYSICS; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

Un método implementado por ordenador para evitar problemas de seguridad en el uso de certificados digitales en la firma de códigos, que comprende: - firmar, por un distribuidor de software a través de un primer servidor (300), por lo menos un archivo de software usando un certificado digital con una firma digital que identifica a dicho distribuidor de software; y - adquirir, por al menos un usuario (100) a través de un dispositivo de cálculo, una copia de dicho por lo menos un archivo de software firmado; y - generar, mediante un segundo servidor (200) en comunicación con dicho primer servidor (300), tras una petición hecha por el distribuidor de software, una indicación de función de troceo del al menos un archivo de software firmado, dicho método implementado por ordenador, en el que, antes de que el segundo servidor reciba la petición, - dicho certificado digital a usar para dicha firma se graba en dicho segundo servidor (200), estando el certificado digital a grabar proporcionado por el distribuidor de software (300) tras el registro de este último en dicho segundo servidor (200) e incluyendo el certificado digital información obtenida de una cadena de certificado de confianza asociada al certificado digital cuando realiza dicho registro, en el que dicho registro comprende comprobar, por el segundo servidor (200), datos incluidos en el certificado digital proporcionado que incluye al menos un dominio y/o una dirección electrónica; y en el que dicho registro comprende además: - realizar, por el segundo servidor (200), una autenticación de dicho certificado digital realizando las siguientes etapas: - generar una contraseña de un solo uso, OTP; - enviar, dicha OTP generada al distribuidor de software (300) a través de un canal de comunicación que incluye al menos un mensaje de texto, un mensaje electrónico o un mensaje instantáneo; y - certificar, tras la recepción de dicha OTP desde el distribuidor de software (300), que la OTP recibida coincide con dicha OTP generada, y en que: - dicha indicación de función de troceo incluye información acerca del distribuidor de software (300) y acerca del archivo de software firmado y un registro de tiempo que certifica un momento en el que se notifica la firma del archivo de software al distribuidor de software (300). A computer implemented method, a computer system and computer program product to prevent security problems in the use of digital certificates in code signing, The computer implemented method comprising a software distributor signing via a first server (300) at least one software file using a digital certificate with a digital signature and at least one user via a computing device (100) acquiring a copy of said signed software file, wherein said digital certificate to be used is previously recorded in a second server (200) in communication with said first server, the digital certificate to be recorded being provided by the software distributor upon a registration of the latter in said second server (200) and including information obtained from a trust certificate chain associated to the digital certificate when performing said registration, the second server (200) generating, upon a request made by the software distributor, a hashstamp of the signed software file.