Digital signing process automation and optimization

Ohjelmiston digitaalinen allekirjoitus on välttämätön osa luotettujen ohjelmistojen julkaisuprosessia. Digitaalinen allekirjoitus nojautuu julkisen avaimen infrastruktuuriin ja sen tehtävänä on varmistaa, että julkaistu ohjelmisto on peräisin autenttisesta lähteestä. Lisäksi sen avulla voidaan varmistua julkaistun ohjelmiston integriteetistä. Sähköisen allekirjoituksen kriittisin osa on julkaisijan yksityiset avaimet, joiden joutuminen vääriin käsiin mahdollistaa vihamielisen tahon esiintymisen luotettavana osapuolena ja haitallisiin tarkoituksiin muutettujen ohjelmistojen levittämisen tätä hyödyntäen. Julkaisijan yksityisten avainten suojeleminen aiheuttaa usein allekirjoitusprosessiin manuaalisesti suoritettavan vaiheen. Tämä saattaa aiheuttaa haasteita muun muassa julkaisuaikatauluun, koska allekirjoitusprosessi joudutaan pitämään erillään jatkuvan integraation piiristä. Lisäksi allekirjoitusprosessi saattaa henkilöityä, jolloin riittävän turvatason omaavan henkilön on oltava käytettävissä julkaisuhetkellä suorittamassa manuaalinen allekirjoitusvaihe. Tässä pro gradu -tutkielmassa suunnitellaan ja kehitetään digitaalisen allekirjoitusprosessin infrastruktuuri ja toimintalogiikka, minkä avulla digitaalisesta allekirjoitusprosessista saadaan mahdollisimman automaattinen liittämällä se osaksi jatkuvaa integraatiota siten, että tietoturvataso säilyy vähintäänkin aiemman manuaalisen ratkaisun tasolla. Tutkielman toimeksiantaja on eräs tietoturva-alaan erikoistunut yritys. Toimeksiannon tavoitteena on nykyisen manuaalisesti suoritettavan digitaalisen allekirjoitusprosessin automatisointi sekä sen optimointi ja dokumentointi. Pääpaino tutkimuksessa ja ratkaisuissa kohdistuu kyseisen yrityksen Android-pohjaisten projektien käyttämiin allekirjoitusprosesseihin.