Bring Your Own Auditor (BYOA)-Leitfaden zur Bescheinigung der Generierung privater Schlüssel

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

SSL.com ermöglicht es Kunden, die Code Signing- oder Adobe Approved Trust List (AATL) Document Signing-Zertifikate anfordern, einen unabhängigen, qualifizierten Prüfer ihrer Wahl zu beauftragen, um zu bestätigen, dass der private Schlüssel des Kunden generiert und sicher in einem konformen Hardware-Sicherheitsmodul (HSM) gespeichert wurde. SSL.com Die Bezeichnung „BYOA“ für diesen Vorgang ist ein von uns erfundener Begriff.

Mit BYOA stellt der Kunde SSL.com Folgendes zur Verfügung:

  • Die Zertifikatsignieranforderung (CSR), die vom HSM generiert werden.
  • Bestätigung eines unabhängigen, qualifizierten und von SSL.com zugelassenen Prüfers, dass das Schlüsselpaar generiert wurde und in einem Hardware-Kryptomodul gespeichert ist, das mindestens nach FIPS 140-2 Level 2 oder einer gleichwertigen Norm zertifiziert ist und in einer zugelassenen Betriebsumgebung verwendet wird.

In diesem Handbuch werden der BYOA-Prozess, die Anforderungen an den Prüfer sowie die Richtlinien zur Schlüsselzeremonie ausführlich beschrieben und eine Musterbriefvorlage für die Prüferbescheinigung bereitgestellt.

Anforderungen und Zulassung des Abschlussprüfers

Um die BYOA-Bescheinigung durchführen zu können, muss der unabhängige Prüfer von SSL.com vorab genehmigt werden. SSL.com bewertet Prüfer anhand der folgenden Kriterien:

  • Technische Kompetenz: Der Prüfer muss über Fachwissen im Bereich der digitalen Zertifizierung und Cybersicherheit verfügen.
  • Auditing-Qualifikationen: Der Auditor muss über eine anerkannte Auditing-Zertifizierung oder -Qualifikation verfügen, z. B. als WebTrust/ETSI-Auditor oder als Cloud Security Alliance CCAK.
  • Ethikkodex: Der Wirtschaftsprüfer muss an einen beruflichen Ethikkodex gebunden sein, typischerweise durch die Mitgliedschaft in einer Berufsorganisation.
  • Überprüfbare Anmeldeinformationen: SSL.com muss in der Lage sein, die Anmeldeinformationen des Prüfers anhand öffentlicher Quellen wie einem Prüferregister zu überprüfen.

Wenn der bevorzugte Prüfer eines Kunden noch nicht zugelassen ist, kann der Prüfer seine Qualifikationen SSL.com zur Überprüfung anhand dieser Kriterien vorlegen. SSL.com führt eine öffentliche Liste vorab zugelassener Prüfer zur Referenz für Kunden.

Richtlinien für die Schlüsselgenerierungszeremonie

Für den BYOA-Prozess muss der Prüfer der Schlüsselgenerierungszeremonie beiwohnen und Folgendes in seinem unterschriebenen Beglaubigungsschreiben bestätigen:

  • Der private Schlüssel wurde in einem Hardware-Kryptomodul generiert, das mindestens nach FIPS 140-2 Level 2 oder gleichwertig zertifiziert ist.
  • Das HSM arbeitet mindestens im FIPS 140-2 Level 2-Modus.
  • Es wurde echte, sichere HSM-Hardware und Firmware verwendet.
  • Die gesamte Kommunikation mit dem HSM während der Schlüsselgenerierung wurde authentifiziert und verschlüsselt.
  • Der private Schlüssel wurde innerhalb des HSM generiert und nie importiert oder exportiert.
  • Der private Schlüssel wird gemäß den PKCS#11-Standards als nicht extrahierbar und vertraulich gekennzeichnet.
  • Für jeden Zugriff auf den privaten Schlüssel ist eine Benutzerauthentifizierung erforderlich.
  • Die Betriebsumgebung des HSM verfügt über Sicherheitskontrollen, die FIPS 140-2 Level 2 oder höher entsprechen.
  • Der Prüfer war während der gesamten Zeremonie und des gesamten Prozesses zur Schlüsselgenerierung anwesend, und es gab keinerlei Anzeichen für eine Kompromittierung.

SSL.com bietet Anleitungen zur Vorbereitung der Zeremonie, ein detailliertes Zeremonieskript und eine Vorlage für ein Bestätigungsschreiben des Wirtschaftsprüfers, um sicherzustellen, dass alle Anforderungen erfüllt werden.

Verpflichtungen des Abonnenten

Im Rahmen des BYOA-Prozesses muss SSL.com vom Abonnenten eine vertragliche Zusicherung einholen, dass dieser eine der folgenden Methoden verwendet, um seine privaten Schlüssel für das Code Signing Certificate in einem Hardware-Kryptomodul mit einem mindestens nach FIPS 140-2 Level 2 zertifizierten Design zu generieren und zu schützen:

  • SSL.com stellt dem Abonnenten ein geeignetes HSM mit einem oder mehreren von SSL.com vorgenerierten Schlüsselpaaren zur Verfügung.
  • Der Abonnent stellt einen Bericht bereit, der die Verwendung einer konformen, cloudbasierten Schlüsselschutzlösung und eines HSM bestätigt.
  • Ein von SSL.com zugelassener Prüfer mit IT- und Sicherheitsschulung bezeugt die Schlüsselpaargenerierung in einem konformen HSM und erstellt einen Bericht darüber.
  • Der Abonnent verwendet einen Signaturdienst, der die im Abschnitt 6.2.7.2 „Grundanforderungen“ aufgeführten Anforderungen erfüllt.

Vorlage für ein Bestätigungsformular für Wirtschaftsprüfer

SSL.com stellt eine Vorlage für das Bestätigungsformular des Prüfers bereit, in der die wichtigsten Punkte aufgeführt sind, die behandelt werden müssen. Die Vorlage steht zum Download bereit HIER.

Das Bestätigungsformular des Prüfers muss vom Prüfer unterzeichnet werden, der die Zeremonie bezeugt. Einreichungen ohne Unterschrift oder von Prüfern, die nicht von SSL.com zugelassen sind, werden abgelehnt.

Schlussfolgerung

Der BYOA-Prozess ermöglicht es SSL.com-Kunden, einen Prüfer ihrer Wahl für die Bescheinigung der Schlüsselgenerierung einzusetzen. Dies bietet mehr Flexibilität im Vergleich zu einer von einer Zertifizierungsstelle verwalteten Bescheinigung und gewährleistet gleichzeitig die Einhaltung der für Code Signing- und Document Signing-Zertifikate erforderlichen Sicherheitsstandards durch strenge Prüferprüfungen und Zeremoniekriterien.

Kunden, die an BYOA für ihre Code Signing- oder Document Signing-Zertifikatsanforderungen interessiert sind, sollten sicherstellen, dass der von ihnen ausgewählte Prüfer die Qualifikationskriterien von SSL.com erfüllt und zugelassen ist, bevor sie fortfahren. Das Validierungsteam von SSL.com steht Ihnen zur Beantwortung aller Fragen zur Verfügung und bietet Beratung während des gesamten BYOA-Vorbereitungs- und -Ausführungsprozesses.

Für weitere Informationen oder um den BYOA-Prozess zu starten, wenden Sie sich bitte an den SSL.com-Support unter support@ssl.com.

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.