Издаване на цифрови сертификати за подписване на код за разширена валидация или Подписване на документи на Adobe изисква gгенериране на ключ с определени защитни свойства. Когато се генерира, ключът трябва да бъде маркиран като „чувствителен“ (което означава, че ключът не може да бъде показан в обикновен текст) и, което е по-важно, неекспортируем (не може да бъде разкрит дори когато е криптиран) от HSM. Има няколко пътя, които трябва да следвате за тази процедура, като например получаване на защитен токен от SSL.com с предварително инсталирани сертификати. Тази статия се фокусира върху случая, когато клиентите избират да използват своя собствен физически HSM или облачен HSM акаунт и наемат квалифициран специалист по техен избор, за да удостоверят правилното изпълнение на този процес.
Какво е атестация?
Преди SSL.com да може да подпише и издаде Подписване на EV код или сертификати за подписване на доверени документи от Adobe, първо трябва да получим доказателство, че частният ключ за подпис на клиента е генериран от и сигурно се съхранява в FIPS 140-2 ниво 2 (или по-високо) сертифицирано устройство, от което не може да бъде експортиран. Актът за доказване, че частният ключ отговаря на тези изисквания, е известен като удостоверяване. Точните процедури за атестиране на частни ключове варират между устройствата и платформите за изчислителни облаци.
Някои услуги, като Google Cloud HSM на Google, предоставят отдалечено атестиране чрез издаване на уникален сертификат за всеки използван HSM, който в комбинация с уникалния сертификат, издаден от производителя на HSM, е достатъчен, за да осигури сигурност, че генерираният ключ притежава необходимите атрибути и е съвместим с PKCS #11. Такова удостоверение се счита за достатъчно доказателство за SSL.com, за да се гарантира допустимостта на ключа.
Въпреки това, има услуги, най-вече AWS, които не предоставят дистанционно атестиране на ключ. В този случай атестирането се извършва чрез ръчна процедура, която се нарича церемония по генериране на ключ (KGC). KGC изисква валидиране от одитор, който е висококвалифициран в областта. Клиентът може да използва вътрешен експерт от SSL.com, но също така може да избере да използва независим професионалист по свой избор. Това се нарича Доведете свой собствен одитор (BYOA). За да се гарантира, че процесът осигурява адекватно валидиране, трябва да се контролират следните полета:
- Допустимостта на избрания професионалист (одитор), който трябва да предостави подходящ KGC
- Процесът на подготовка и изпълнение на KGC
- Минималните изисквания, които трябва да бъдат проверени и докладвани от одитора
KGC процес: Подготовка и насоки
BYOA е валидна алтернатива за клиенти, но изисква задълбочена подготовка, в противен случай съществува значителен риск от отхвърляне на генерирания ключ. Това може да се случи, ако използваното устройство не отговаря на изискванията, или одиторът не е квалифициран, или одиторският доклад не покрива изискванията на процеса. В такъв случай церемонията и нейното свидетелство трябва да се повторят, което води до допълнителни разходи и забавяния за клиента.
За да се избегнат подобни сценарии, специалистите по поддръжка на клиенти и/или валидиране на SSL.com комуникират с клиента преди KGC, за да предоставят насоки и да гарантират следното:
- Одиторът е одобрен съгласно критериите, описани по-долу
- Изискванията за подготовка на церемонията, както и сценарият за церемонията са ясни и се следват щателно, така че средата на KGC е добре подготвена
- Всички ограничения и/или специфични за BYOA условия са ясни и приети от клиента
Допустимост на одитор на KGC
Клиентите, които искат подписване на EV код или сертификати за подписване на доверен документ от Adobe, могат да представят Заявката за подписване на сертификат (CSR) и потвърждение от независим професионалист (BYOA), че двойката ключове е генерирана и съхранена в одобрен HSM, в одобрена операционна среда и в съответствие с всички атрибути PKCS #11.
SSL.com е поставил серия от критерии, за да гарантира компетентността и етиката на професионалиста, който клиентът избира. Тези критерии, които също се използват за оценка и одобрение на свързаните одитори на SSL.com, са налице, за да се гарантира сигурността и съответствието на подписващия продукт (EV Code Signing или Adobe-Trusted Document Signing сертификат).
Критериите, които се вземат предвид за приемане или отхвърляне на заверка от одитор са:
- Техническа компетентност: Одиторът трябва да е квалифициран в областта на цифровото сертифициране и киберсигурността
- Одиторска компетентност: Одиторът трябва да докаже квалификацията на своя одиторски капацитет чрез подходящ личен сертификат или професионален капацитет (напр. Webtrust/ETSI одитор, Cloud Security Alliance CCAK).
- етика: Проверка дали съществува обвързващ етичен кодекс, напр. като част от одиторската сертификация.
- Възможността за проверка на горната информация за одитора: Проверка срещу публичен източник (напр. регистър на одиторите) за проверка на сертифицирането.
Тези критерии се проверяват от специалисти по валидиране на SSL.com, преди да бъдат приети. SSL.com поддържа списък с одобрени от BYOA сертификати за горните критерии, заедно със списък на свързани одитори за удобство на клиентите.
Тази информация се разкрива на клиента по време на подготвителната фаза. За повече информация, моля свържете се support@ssl.com.
Изисквания за атестиране на KGC
Подготвителната фаза е от решаващо значение, за да се избегнат инциденти в церемонията, които могат да доведат до допълнителни разходи и забавяния. Обслужването на клиентите в SSL.com гарантира, че всички изисквания за одит се съобщават както на клиента, така и на квалифицирания одитор, преди да бъде избран сценарий за церемония. За допълнителна помощ, SSL.com е подготвил материал в подкрепа на AWS Cloud HSM, като изисквания за подготовка на церемонията и скрипт за церемония, които са достъпни, като се свържете support@ssl.com по време на подготвителната фаза.
Клиентът може да избере да създаде свой собствен скрипт чрез квалифициран одитор (QA), но в този случай силно препоръчваме скриптът на церемонията да бъде прегледан и одобрен от нашите собствени инженери преди употреба.
Във всеки случай, квалифицираният одитор трябва лично да провери и удостовери следното по отношение на церемонията по генериране на частен ключ:
- Материалът за частен ключ е създаден в HSM, съвместим с най-малко FIPS 140-2 ниво 2 и работи най-малко в режим FIPS 140-2 ниво 2.
- HSM и фърмуерът, използвани в церемонията, бяха оригинални и версията на фърмуера не е свързана с известни уязвимости
- Софтуерът, използван за церемонията, е официален HSM софтуер, предоставен от производителя и неговата цялост е проверена от QA
- Всички комуникации с HSM по време на процеса на генериране на ключове бяха криптирани и взаимно удостоверени чрез криптографски средства
- Материалът за частен ключ е създаден вътре в HSM и не е импортиран
- Материалът на частния ключ не е маркиран като извличащ (атрибут PKCS #11 „CKA_EXTRACTABLE/CKA_EXPORTABLE“) и никога не е бил.
- Материалът на частния ключ е маркиран като чувствителен (атрибут PKCS #11 „CKA_SENSITIVE“) и винаги е бил.
- Достъпът до генерирания ключов материал изисква удостоверяване на потребителя
- QA присъстваше, проследи всички процеси на церемонията и нямаше подозрение или доказателства за лоши игри.
В допълнение към горните изисквания, QA удостоверява, че операционната среда на абоната постига ниво на сигурност, най-малко еквивалентно на това на FIPS 140-2 ниво 2.
Заключение
BYOA е валидна и полезна алтернатива за случаите, в които не е налично дистанционно атестиране за сертификати за подписване на код за разширена валидация и сертификати, одобрени от Adobe Approved Trust List. SSL.com гарантира, че клиентите са напълно подготвени за процедурата и им е осигурена поддръжка от най-високо ниво, в случай че използват тази опция.
