Software Signing System System overview and key domain concepts Copyright 2004 F-Secure Corporation. All rights reserved.
Contents 1 System overview...1 2 Main domain concepts...2 3 Roles and user groups...3 4 Use cases...4 5 Käynnistys- & aloitusohje...5 6 Tärkeät tiedot...5 7 Defect Tracking ohje:...5 Copyright 2004 F-Secure Corporation. All rights reserved.
1 System overview This system is an automatic and remotely usable software signing process tool. It doesn t sign anything, but it makes sure all relevant steps in the process are taken and logged. It will accept software package as input, prompt an approver for approval for the data package, scan the package for malware and forward the package for signature. A signer will then download the approved package and sign it. Signing is done outside of the system. Once the package is signed, the signer uploads the files back to the system. The system will then re-scan the package for malware, timestamp it if required and archive the data. Then the signed data is released back to submitter. System will also audit all the relevant activities in the system. The process is mainly based on Microsoft Code Signing Best Practices document (http://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0ab18336565f5b/best_practices.doc) Copyright 2004 F-Secure Corporation. All rights reserved. 1
2 Main domain concepts The process of software signing is based on Microsoft best practice which is illustrated below in Figure 1. Figure 1 Online signing with manual approval topology; Source: Microsoft, Code Signing Best Practices, August 1, 2006 Preview Draft v.0.7 - Beta 2 Update Draft Concept Description Software The developed online software signing system with manual signing System signing process. Software Digital signature to confirm the original author of the software signature and the intactness of the software. Signing request Request from the developer to get digital signature to certain files. Meta data Data that accompanies signing request Audit server Place where audit logs are stored, with limited access to auditors only Table 1 Main domain concepts of the users Copyright 2004 F-Secure Corporation. All rights reserved. 2
3 Roles and user groups This chapter describes the intended users of the system for the parts relevant for peer testing. User role Submitter(s) Approver(s) Signer(s) Table 2 User roles in the system Description Person who submits signing request to software signing system Person with approval authority who can approve signing requests. Person with authority to digitally sign files. User group Description Group A Works in project A (e.g. firewall beta release) Group B Works in project B (e.g. anti virus final release) Table 3 User groups in the system (examples) Copyright 2004 F-Secure Corporation. All rights reserved. 3
4 Use cases This chapter describes the use cases related to the basic signing process for the parts relevant to peer testing. See Figure 2. Figure 2 Signing process Copyright 2004 F-Secure Corporation. All rights reserved. 4
5 Käynnistys- & aloitusohje Ryhmämme edustaja on jatkuvasti läsnä testauksen ajan. Hän auttaa testiympäristöön liittyvissä ongelmatilanteissa ja vastaa mahdollisiin kysymyksiin. Tästä syystä ohje on pyritty pitämään mahdollisimman kevyenä. Annamme teidän käyttöönne testauksen ajaksi koneen, jolle on valmiiksi asennettu ja käynnistetty kaikki tarpeellinen. Järjestelmä on siis heti käyttövalmis. Desktopilla on (ainoastaan) kaikki tarvittavat linkit. 6 Tärkeät tiedot Käyttäjätunnukset ja salasanat on README.txt tiedostossa (linkki desktopilla) Audit logi on "logs" -hakemistossa (linkki desktopilla), tiedosto: sssauditlog.log Signing systemiin siirretyt tiedostot ovat Järjestelmään siirretyt tiedostot ovat hakemistossa "Data" (linkki desktopilla). Järjestelmää käytetään FireFox selaimella (linkki desktopilla). Oikea osoite on kotisivuna. Koska järjestelmän toiminta vaatii useiden eri käyttäjien interaktiota, voidaan testiympäristössä esiintyä useana eri käyttäjänä. Sisään kirjautuneen käyttäjän vaihto: Käynnistä FireFox uudestaan tai "Clear Private Data" painamalla: Ctrl+Shift+Del Järjestelmän lähettämät sähköposti-ilmoitukset näkee Thunderbirdilla (linkki desktopilla) 7 Defect Tracking ohje: Koska meillä on bugikorjaussessio sunnuntaina, saatte ajan tasalla olevan listan bugeista (Defect_Tracking.xls) testaustilanteeseen. Täyttäkää teille toimitettavaan Defect_Tracking.xls:ään kaikki uudet bugit mitkä löydätte. Mitä löytyneistä bugeista kirjataan ylös kuhunkin sarakkeeseen: ID: Suurin id + 1 Name: Lyhyt kuvaus bugista Severity: Subjektiivisella asteikkolla pahimmasta kevyimpään: Severe, Major tai Minor Component: Exceptionin sattuessa sss -paketin luokka, joka sen heitti. Jos epäselvää, niin webbisivun tai toiminnallisuuden nimi, jossa se esiintyi. Omaa harkintaa saa käyttää. Short Description: Ohjeet miten bugi voidaan toistetaan, tai kuvaus siitä miten se ilmeni. Omaa harkintaa saa käyttää. Copyright 2004 F-Secure Corporation. All rights reserved. 5