Medbring din egen Auditor Cloud HSM Attestation

Se alle vejledninger

Udstedelse af digitale certifikater til Extended Validation Code Signing eller Adobe dokumentsignering kræver gaktivering af en nøgle med visse sikkerhedsegenskaber. Når den genereres, skal nøglen markeres som "følsom" (hvilket betyder, at nøglen ikke kan vises i klartekst) og, endnu vigtigere, ikke-eksporterbar (kan ikke afsløres, selv når den er krypteret) fra HSM. Der er flere stier at følge for denne procedure, såsom at få et sikkert token fra SSL.com med forudinstallerede certifikater. Denne artikel fokuserer på det tilfælde, hvor kunder vælger at bruge deres egen fysiske HSM- eller cloud-HSM-konto og ansætter en kvalificeret professionel efter eget valg til at attestere den korrekte udførelse af denne proces.

Dokumentsignering, kodesignering, eSealing og mere med eSigner! Klik nedenfor for mere info.

LÆR MERE

Hvad er attestation?

Før SSL.com kan signere og udstede EV-kode underskrift eller Adobe-Trusted Document Signing-certifikater, skal vi først indhente bevis for, at kundens private signeringsnøgle er genereret af og er sikkert opbevaret i en FIPS 140-2 Level 2 (eller højere) certificeret enhed, hvorfra den ikke kan eksporteres. Handlingen med at bevise, at en privat nøgle opfylder disse krav er kendt som kursusbevis. De nøjagtige procedurer for attestering af private nøgler varierer mellem enheder og cloud computing-platforme.

Nogle tjenester, f.eks Google Cloud HSM, leverer fjernattestering ved at udstede et unikt certifikat for hver brugt HSM, som kombineret med det unikke certifikat udstedt af HSM's producent er nok til at give sikkerhed for, at den genererede nøgle besidder de påkrævede attributter og er PKCS #11-kompatibel. En sådan attestation anses for at være tilstrækkeligt bevis for, at SSL.com kan sikre, at nøglen er berettiget.

Der er dog tjenester, især AWS, der ikke giver fjernnøgleattestering. I dette tilfælde udføres attestation ved en manuel procedure, som kaldes Key Generation Ceremony (KGC). KGC kræver validering fra en revisor, der er yderst kvalificeret på området. Kunden kan bruge en intern ekspert fra SSL.com, men kan også vælge at bruge en uafhængig professionel efter eget valg. Dette kaldes Bring Your Own Auditor (BYOA). For at sikre, at processen giver tilstrækkelig validering, skal følgende felter kontrolleres:

  • Berettigelsen af ​​den valgte fagperson (revisor), som skal levere en ordentlig KGC
  • KGC forberedelse og udførelsesprocessen
  • Minimumskravene, der bør kontrolleres og rapporteres af revisor

KGC proces: Forberedelse og retningslinjer

BYOA er et gyldigt alternativ for klienter, men det kræver grundig forberedelse, ellers er der en betydelig risiko for afvisning af den genererede nøgle. Dette kan ske, hvis den anvendte enhed ikke er kompatibel, eller revisor ikke er kvalificeret, eller revisors beretning ikke dækker kravene i processen. I et sådant tilfælde skal ceremonien og dens vidnesbyrd gentages, hvilket medfører ekstra omkostninger og forsinkelser for klienten. 

For at undgå sådanne scenarier kommunikerer SSL.coms kundesupport og/eller valideringsspecialister med kunden før KGC for at give vejledning og sikre følgende:

  • Revisor godkendes efter kriterierne beskrevet nedenfor
  • Kravene til ceremoniforberedelser samt ceremonimanuskriptet er klare og fulgt grundigt, så KGC-miljøet er godt forberedt
  • Eventuelle begrænsninger og/eller BYOA-specifikke vilkår og betingelser er klare og accepteret af kunden

Berettigelse af KGC revisor

Kunder, der anmoder om EV Code Signing eller Adobe-Trusted Document Signing-certifikater, kan fremvise anmodningen om certifikatsignering (CSR) og en bekræftelse fra en uafhængig professionel (BYOA), at nøgleparret blev genereret og gemt i en godkendt HSM, under et godkendt driftsmiljø og i overensstemmelse med alle PKCS #11-attributter.

SSL.com har opstillet en række kriterier for at sikre kompetencen og etikken hos den professionelle, som kunden vælger. Disse kriterier, som også bruges til at evaluere og godkende SSL.com's tilknyttede revisorer, er på plads for at sikre sikkerheden og overensstemmelsen af ​​signeringsproduktet (EV Code Signing eller Adobe-Trusted Document Signing-certifikat).

De kriterier, der overvejes for accept eller afvisning af certificering fra en revisor, er:

  • Teknisk kompetence: Revisoren skal være kvalificeret inden for digital certificering og cybersikkerhed
  • Revisionskompetence: Revisoren skal bevise kvalifikationen af ​​sin revisionskapacitet gennem en passende personlig certificering eller professionel kapacitet (f.eks. Webtrust/ETSI-revisor, Cloud Security Alliance CCAK).
  • Etik: En kontrol af, at der er et bindende etisk kodeks på plads, fx som en del af revisors certificering.
  • Evnen til at verificere ovenstående revisoroplysninger: En kontrol mod en offentlig kilde (f.eks. revisorregister) for at verificere certificeringen.

Disse kriterier kontrolleres af SSL.com-valideringsspecialister, før de accepteres. SSL.com vedligeholder en liste over BYOA-godkendte certificeringer for ovennævnte kriterier sammen med en liste over tilknyttede revisorer for kundernes bekvemmelighed. 

Disse oplysninger videregives til kunden i forberedelsesfasen. For mere information, kontakt venligst support@ssl.com

Krav til KGC-attest

Forberedelsesfasen er afgørende for at undgå uheld i ceremonien, som kan føre til ekstra omkostninger og forsinkelser. Kundeplejen i SSL.com sikrer, at alle revisionskrav kommunikeres til både kunden og den kvalificerede revisor, før et ceremonimanuskript vælges. For yderligere at hjælpe har SSL.com udarbejdet materiale til at understøtte AWS Cloud HSM, såsom krav til ceremoniforberedelse og et ceremoniscript, som er tilgængeligt ved at kontakte support@ssl.com i forberedelsesfasen. 

Klienten kan vælge at oprette deres eget script gennem Qualified Auditor (QA), men i dette tilfælde anbefaler vi stærkt, at ceremoniscriptet gennemgås og godkendes af vores egne ingeniører før brug.

Under alle omstændigheder skal den kvalificerede revisor personligt verificere og attestere følgende med hensyn til Ceremonien for generering af private nøgler:

  • Private Key Materiale blev skabt i en HSM-kompatibel med mindst FIPS 140-2 Level 2 og fungerer i mindst FIPS 140-2 Level 2-tilstand.
  • HSM og firmware, der blev brugt i ceremonien var ægte, og firmwareversionen er ikke forbundet med nogen kendte sårbarheder
  • Softwaren, der blev brugt til ceremonien var officiel HSM-software leveret af producenten, og dens integritet blev verificeret af QA
  • Al kommunikation med HSM under nøglegenereringsprocessen blev krypteret og gensidigt autentificeret via kryptografiske midler
  • Privat nøglemateriale blev oprettet inde i HSM og blev ikke importeret
  • Privat nøglemateriale er ikke markeret som udtrækbart (PKCS #11-attribut "CKA_EXTRACTABLE/CKA_EXPORTABLE"), og det har det aldrig været.
  • Privat nøglemateriale er markeret som følsomt (PKCS #11 attribut "CKA_SENSITIVE") og det har det altid været.
  • Adgang til det genererede nøglemateriale kræver brugergodkendelse
  • QA var til stede, har fulgt alle ceremoniens processer, og der var ingen mistanke om eller bevis for uredelighed.

Ud over ovenstående krav attesterer QA, at abonnentens driftsmiljø opnår et sikkerhedsniveau, der mindst svarer til FIPS 140-2 niveau 2.

Konklusion

BYOA er et gyldigt og nyttigt alternativ i de tilfælde, hvor fjernattestering ikke er tilgængelig for Extended Validation Code Signing og Adobe Approved Trust List-certifikater. SSL.com sørger for, at kunderne er grundigt forberedt på proceduren og forsynet med support på topniveau, hvis de benytter denne mulighed. 

Twitter
Facebook
LinkedIn
Reddit
E-mail

Giannis Naziridis

Alle indlæg »

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse