إصدار شهادات رقمية لتوقيع كود التحقق الممتد أو توقيع وثيقة Adobe يتطلب gتنشيط مفتاح بخصائص أمنية معينة. عند إنشائه ، يجب وضع علامة على المفتاح على أنه "حساس" (بمعنى أنه لا يمكن عرض المفتاح في نص عادي) والأهم من ذلك أنه غير قابل للتصدير (لا يمكن الكشف عنه حتى عند تشفيره) من HSM. هناك العديد من المسارات التي يجب اتباعها لهذا الإجراء ، مثل الحصول على رمز آمن من SSL.com بشهادات مثبتة مسبقًا. تركز هذه المقالة على الحالة التي يختار فيها العملاء استخدام حساب HSM المادي أو حساب HSM السحابي الخاص بهم وتوظيف محترف مؤهل من اختيارهم لإثبات التنفيذ الصحيح لهذه العملية.
ما هو التصديق؟
قبل أن يتمكن SSL.com من التوقيع والإصدار توقيع رمز EV أو شهادات Adobe-Trusted Document Signing ، يجب علينا أولاً الحصول على دليل على أن مفتاح التوقيع الخاص بالعميل قد تم إنشاؤه بواسطة جهاز معتمد من FIPS 140-2 (أو أعلى) من المستوى 2 (أو أعلى) وتخزينه بشكل آمن ، ولا يمكن تصديره منه. يُعرف فعل إثبات أن المفتاح الخاص يلبي هذه المتطلبات باسم شهادة. تختلف الإجراءات الدقيقة للمصادقة على المفتاح الخاص بين الأجهزة ومنصات الحوسبة السحابية.
بعض الخدمات ، مثل جوجل كلاود HSM، قم بتقديم شهادة عن بُعد عن طريق إصدار شهادة فريدة لكل HSM مستخدمة ، والتي عند دمجها مع الشهادة الفريدة الصادرة عن الشركة المصنعة لـ HSM تكون كافية لتوفير اليقين من أن المفتاح الذي تم إنشاؤه يمتلك السمات المطلوبة وأنه متوافق مع PKCS # 11. يعتبر هذا التصديق دليلاً كافياً لـ SSL.com لضمان أهلية المفتاح.
ومع ذلك ، هناك خدمات ، وعلى الأخص AWS ، لا تقدم تصديقًا على المفتاح البعيد. في هذه الحالة ، يتم التصديق عن طريق إجراء يدوي يسمى حفل توليد المفتاح (KGC). يتطلب KGC التحقق من صحة من مدقق يتمتع بمهارات عالية في هذا المجال. يمكن للعميل الاستفادة من خبير داخلي من SSL.com ، ولكن يمكنه أيضًا اختيار استخدام محترف مستقل من اختياره. يشار إلى هذا باسم إحضار المدقق الخاص بك (BYOA). من أجل التأكد من أن العملية توفر التحقق الكافي ، يجب التحكم في الحقول التالية:
- أهلية المحترف المختار (المدقق) الذي يجب أن يوفر KGC المناسب
- عملية الإعداد والتنفيذ لمركز حضانة الأطفال
- الحد الأدنى من المتطلبات التي يجب فحصها والإبلاغ عنها من قبل المدقق
عملية KGC: التحضير والمبادئ التوجيهية
يعد BYOA بديلاً صالحًا للعملاء ، ولكنه يتطلب إعدادًا شاملاً ، وإلا فهناك خطر كبير يتمثل في رفض المفتاح الذي تم إنشاؤه. يمكن أن يحدث هذا إذا كان الجهاز المستخدم غير متوافق ، أو كان المدقق غير مؤهل ، أو أن تقرير المراجع لا يغطي متطلبات العملية. في مثل هذه الحالة ، يجب تكرار الحفل وشهادته ، مما يؤدي إلى تكاليف إضافية وتأخيرات للعميل.
لتجنب مثل هذه السيناريوهات ، يتواصل دعم عملاء SSL.com و / أو متخصصو التحقق من الصحة مع العميل قبل مركز KGC لتقديم الإرشادات والتأكد مما يلي:
- تمت الموافقة على المراجع وفقًا للمعايير الموضحة أدناه
- متطلبات التحضير للحفل وكذلك سيناريو الحفل واضح ومُتَّبع بدقة ، حتى تكون بيئة مركز الحضانة (KGC) مُجهزة جيدًا
- أي قيود و / أو شروط وأحكام خاصة بـ BYOA واضحة ومقبولة من قبل العميل
أهلية مدقق حسابات KGC
يمكن للعملاء الذين يطلبون توقيع رمز EV أو شهادات توقيع المستندات الموثوقة من Adobe تقديم طلب توقيع الشهادة (CSR) وتأكيدًا من محترف مستقل (BYOA) أن زوج المفاتيح قد تم إنشاؤه وتخزينه في HSM معتمد ، في ظل بيئة تشغيل معتمدة ، وبما يتوافق مع جميع سمات PKCS # 11.
وضعت SSL.com سلسلة من المعايير لضمان كفاءة وأخلاقيات المهنة التي يختارها العميل. هذه المعايير ، التي تُستخدم أيضًا لتقييم واعتماد المدققين التابعين لـ SSL.com ، موجودة لضمان أمان ومطابقة منتج التوقيع (توقيع رمز EV أو شهادة توقيع المستند الموثوق به من Adobe).
المعايير التي تؤخذ في الاعتبار لقبول أو رفض الشهادة من المدقق هي:
- الكفاءة الفنية: يحتاج المدقق إلى أن يكون مؤهلاً في مجال الشهادات الرقمية والأمن السيبراني
- كفاءة المراجعة: يحتاج المدقق إلى إثبات مؤهلات قدرته على التدقيق من خلال شهادة شخصية مناسبة أو قدرة مهنية (على سبيل المثال مدقق Webtrust / ETSI ، Cloud Security Alliance CCAK).
- أخلاق: التحقق من وجود مدونة أخلاقية ملزمة ، على سبيل المثال كجزء من شهادة المدقق.
- القدرة على التحقق من معلومات المدقق أعلاه: فحص ضد مصدر عام (مثل سجل المراجعين) للتحقق من الشهادة.
يتم التحقق من هذه المعايير من قبل متخصصي التحقق من صحة SSL.com قبل قبولها. تحتفظ SSL.com بقائمة من الشهادات المعتمدة من BYOA للمعايير المذكورة أعلاه ، جنبًا إلى جنب مع قائمة المراجعين المنتسبين لراحة العملاء.
يتم الكشف عن هذه المعلومات للعميل أثناء مرحلة الإعداد. للمزيد من المعلومات أرجو الأتصال support@ssl.com.
متطلبات تصديق KGC
تعد مرحلة التحضير أمرًا بالغ الأهمية لتجنب الحوادث المؤسفة في الحفل والتي قد تؤدي إلى تكاليف إضافية وتأخيرات. تضمن خدمة العملاء في SSL.com إبلاغ كل من العميل والمدقق المؤهل بجميع متطلبات التدقيق قبل تحديد نص الاحتفال. لمزيد من المساعدة ، أعدت SSL.com مواد لدعم AWS Cloud HSM ، مثل متطلبات إعداد الحفل ونص الحفل ، والتي تتوفر عن طريق الاتصال support@ssl.com خلال مرحلة التحضير.
يمكن للعميل اختيار إنشاء البرنامج النصي الخاص به من خلال المدقق المؤهل (QA) ولكن في هذه الحالة ، نوصي بشدة بمراجعة سيناريو الحفل والموافقة عليه من قبل مهندسينا قبل الاستخدام.
في أي حال ، يجب على المدقق المؤهل التحقق شخصيًا من ما يلي والتصديق عليه ، فيما يتعلق بحفل إنشاء المفتاح الخاص:
- تم إنشاء مادة المفتاح الخاص في HSM متوافق مع FIPS 140-2 المستوى 2 على الأقل وتعمل في وضع FIPS 140-2 المستوى 2 على الأقل.
- كان HSM والبرامج الثابتة المستخدمة في الحفل أصلية وإصدار البرنامج الثابت غير مرتبط بأي ثغرات أمنية معروفة
- كان البرنامج المستخدم في الحفل عبارة عن برنامج HSM رسمي قدمته الشركة المصنعة وتم التحقق من سلامته من قبل ضمان الجودة
- تم تشفير جميع الاتصالات مع HSM أثناء عملية إنشاء المفتاح والمصادقة عليها بشكل متبادل عبر وسائل التشفير
- تم إنشاء مادة المفتاح الخاص داخل HSM ولم يتم استيرادها
- لم يتم وضع علامة على مادة المفتاح الخاص على أنها قابلة للاستخراج (سمة PKCS # 11 "CKA_EXTRACTABLE / CKA_EXPORTABLE") ولم تكن كذلك.
- تم وضع علامة على مادة المفتاح الخاص على أنها حساسة (سمة PKCS # 11 "CKA_SENSITIVE") وكانت دائمًا كذلك.
- يتطلب الوصول إلى مادة المفتاح التي تم إنشاؤها مصادقة المستخدم
- كانت وكالة الجودة حاضرة ، وتابعت جميع عمليات الحفل ، ولم يكن هناك شك أو دليل على حدوث تلاعب.
بالإضافة إلى المتطلبات المذكورة أعلاه ، تشهد QA أن بيئة تشغيل المشترك تحقق مستوى أمان مكافئًا على الأقل لمستوى FIPS 140-2 المستوى 2.
وفي الختام
يعد BYOA بديلاً صالحًا ومفيدًا للحالات التي لا يتوفر فيها المصادقة عن بُعد لتوقيع رمز التحقق الممتد وشهادات قائمة الثقة المعتمدة من Adobe. يتأكد SSL.com من أن العملاء مستعدون تمامًا للإجراء وتزويدهم بالدعم عالي المستوى في حالة استخدامهم لهذا الخيار.
