Έκδοση ψηφιακών πιστοποιητικών για υπογραφή εκτεταμένης επικύρωσης ή Adobe Document Signing απαιτεί το ζδημιουργία κλειδιού με ορισμένες ιδιότητες ασφαλείας. Όταν δημιουργείται, το κλειδί πρέπει να επισημαίνεται ως "ευαίσθητο" (που σημαίνει ότι το κλειδί δεν μπορεί να εμφανιστεί σε απλό κείμενο) και, το πιο σημαντικό, μη εξαγώγιμο (δεν μπορεί να αποκαλυφθεί ακόμη και όταν είναι κρυπτογραφημένο) από το HSM. Υπάρχουν πολλές διαδρομές που πρέπει να ακολουθήσετε για αυτήν τη διαδικασία, όπως η απόκτηση ενός ασφαλούς διακριτικού από το SSL.com με προεγκατεστημένα πιστοποιητικά. Αυτό το άρθρο εστιάζει στην περίπτωση όπου οι πελάτες επιλέγουν να χρησιμοποιήσουν τον δικό τους φυσικό λογαριασμό HSM ή cloud HSM και να απασχολήσουν έναν εξειδικευμένο επαγγελματία της επιλογής τους για να πιστοποιήσει τη σωστή εκτέλεση αυτής της διαδικασίας.
Τι είναι η Βεβαίωση;
Προτού μπορέσει το SSL.com να υπογράψει και να εκδώσει Υπογραφή κώδικα EV ή πιστοποιητικά Adobe-Trusted Document Signing, πρέπει πρώτα να λάβουμε απόδειξη ότι το ιδιωτικό κλειδί υπογραφής του πελάτη έχει δημιουργηθεί από και είναι αποθηκευμένο με ασφάλεια σε μια συσκευή με πιστοποίηση FIPS 140-2 Επίπεδο 2 (ή μεγαλύτερη), από την οποία δεν μπορεί να εξαχθεί. Η πράξη της απόδειξης ότι ένα ιδιωτικό κλειδί πληροί αυτές τις απαιτήσεις είναι γνωστή ως επιβεβαίωση. Οι ακριβείς διαδικασίες για την πιστοποίηση ιδιωτικού κλειδιού διαφέρουν μεταξύ συσκευών και πλατφορμών υπολογιστικού νέφους
Ορισμένες υπηρεσίες, όπως Google Cloud HSM, παρέχουν απομακρυσμένη βεβαίωση εκδίδοντας ένα μοναδικό πιστοποιητικό για κάθε HSM που χρησιμοποιείται, το οποίο σε συνδυασμό με το μοναδικό πιστοποιητικό που εκδίδεται από τον κατασκευαστή του HSM είναι αρκετό για να παρέχει βεβαιότητα ότι το κλειδί που δημιουργείται διαθέτει τα απαιτούμενα χαρακτηριστικά και είναι συμβατό με το PKCS #11. Μια τέτοια βεβαίωση θεωρείται επαρκής απόδειξη για το SSL.com για να διασφαλίσει την καταλληλότητα του κλειδιού.
Ωστόσο, υπάρχουν υπηρεσίες, κυρίως το AWS, που δεν παρέχουν απομακρυσμένη πιστοποίηση κλειδιού. Στην περίπτωση αυτή, η βεβαίωση γίνεται με μια χειροκίνητη διαδικασία που ονομάζεται Τελετή Δημιουργίας Κλειδιών (KGC). Το KGC απαιτεί επικύρωση από έναν ελεγκτή που έχει υψηλή εξειδίκευση στον τομέα. Ο πελάτης μπορεί να χρησιμοποιήσει έναν εσωτερικό ειδικό από το SSL.com, αλλά μπορεί επίσης να επιλέξει να χρησιμοποιήσει έναν ανεξάρτητο επαγγελματία της επιλογής του. Αυτό αναφέρεται ως Bring Your Own Auditor (BYOA). Για να διασφαλιστεί ότι η διαδικασία παρέχει επαρκή επικύρωση, πρέπει να ελέγχονται τα ακόλουθα πεδία:
- Η επιλεξιμότητα του επιλεγμένου επαγγελματία (ελεγκτή) που θα παρέχει κατάλληλο KGC
- Η διαδικασία προετοιμασίας και εκτέλεσης του KGC
- Οι ελάχιστες απαιτήσεις που πρέπει να ελέγχονται και να αναφέρονται από τον ελεγκτή
Διαδικασία KGC: Προετοιμασία και οδηγίες
Το BYOA είναι μια έγκυρη εναλλακτική λύση για τους πελάτες, αλλά απαιτεί ενδελεχή προετοιμασία, διαφορετικά υπάρχει σημαντικός κίνδυνος απόρριψης για το κλειδί που δημιουργείται. Αυτό θα μπορούσε να συμβεί εάν η συσκευή που χρησιμοποιείται δεν είναι συμβατή ή ο ελεγκτής δεν είναι κατάλληλος ή η έκθεση του ελεγκτή δεν καλύπτει τις απαιτήσεις της διαδικασίας. Σε μια τέτοια περίπτωση, η τελετή και η κατάθεσή της πρέπει να επαναληφθούν, με αποτέλεσμα πρόσθετο κόστος και καθυστερήσεις για τον πελάτη.
Για να αποφευχθούν τέτοια σενάρια, οι ειδικοί υποστήριξης πελατών ή/και επικύρωσης του SSL.com επικοινωνούν με τον πελάτη ενώπιον του KGC για να παρέχουν καθοδήγηση και να διασφαλίσουν τα ακόλουθα:
- Ο ελεγκτής εγκρίνεται σύμφωνα με τα κριτήρια που περιγράφονται παρακάτω
- Οι απαιτήσεις προετοιμασίας της τελετής καθώς και το σενάριο της τελετής είναι σαφείς και ακολουθούνται διεξοδικά, έτσι ώστε το περιβάλλον KGC να είναι καλά προετοιμασμένο
- Τυχόν περιορισμοί ή/και ειδικοί όροι και προϋποθέσεις του BYOA είναι σαφείς και αποδεκτοί από τον πελάτη
Επιλεξιμότητα ελεγκτή KGC
Οι πελάτες που ζητούν πιστοποιητικά υπογραφής κωδικού EV ή Adobe-Trusted Document Signing μπορούν να υποβάλουν το αίτημα υπογραφής πιστοποιητικού (CSR) και επιβεβαίωση από ανεξάρτητο επαγγελματία (BYOA) ότι το ζεύγος κλειδιών δημιουργήθηκε και αποθηκεύτηκε σε εγκεκριμένο HSM, σε εγκεκριμένο περιβάλλον λειτουργίας και σε συμμόρφωση με όλα τα χαρακτηριστικά PKCS #11.
Το SSL.com έχει θέσει μια σειρά κριτηρίων για να διασφαλίσει την ικανότητα και την ηθική του επαγγελματία που επιλέγει ο πελάτης. Αυτά τα κριτήρια, τα οποία χρησιμοποιούνται επίσης για την αξιολόγηση και την έγκριση των συνδεδεμένων ελεγκτών του SSL.com, ισχύουν για τη διασφάλιση της ασφάλειας και της συμμόρφωσης του προϊόντος υπογραφής (EV Code Signing ή Adobe-Trusted Document Signing πιστοποιητικό).
Τα κριτήρια που λαμβάνονται υπόψη για την αποδοχή ή την απόρριψη της πιστοποίησης από έναν ελεγκτή είναι:
- Τεχνική επάρκεια: Ο ελεγκτής πρέπει να έχει προσόντα στον τομέα της ψηφιακής πιστοποίησης και της ασφάλειας στον κυβερνοχώρο
- Ελεγκτική ικανότητα: Ο ελεγκτής πρέπει να αποδείξει τα προσόντα της ελεγκτικής του ικανότητας μέσω κατάλληλης προσωπικής πιστοποίησης ή επαγγελματικής ικανότητας (π.χ. ελεγκτής Webtrust/ETSI, Cloud Security Alliance CCAK).
- Ηθική: Έλεγχος ότι υπάρχει δεσμευτικός Κώδικας Δεοντολογίας, π.χ. ως μέρος της πιστοποίησης του ελεγκτή.
- Η δυνατότητα επαλήθευσης των παραπάνω πληροφοριών ελεγκτή: Έλεγχος σε δημόσια πηγή (π.χ. μητρώο ελεγκτών) για την επαλήθευση της πιστοποίησης.
Αυτά τα κριτήρια ελέγχονται από ειδικούς επικύρωσης του SSL.com πριν γίνουν αποδεκτά. Το SSL.com διατηρεί μια λίστα με πιστοποιήσεις που έχουν εγκριθεί από το BYOA για τα παραπάνω κριτήρια, μαζί με μια λίστα συνδεδεμένων ελεγκτών για τη διευκόλυνση των πελατών.
Αυτές οι πληροφορίες γνωστοποιούνται στον πελάτη κατά τη φάση προετοιμασίας. Για περισσότερες πληροφορίες, παρακαλούμε επικοινωνήστε support@ssl.com.
Απαιτήσεις βεβαίωσης KGC
Η φάση προετοιμασίας είναι κρίσιμη για την αποφυγή ατυχιών στην τελετή που θα μπορούσαν να οδηγήσουν σε πρόσθετο κόστος και καθυστερήσεις. Η εξυπηρέτηση πελατών στο SSL.com διασφαλίζει ότι όλες οι απαιτήσεις ελέγχου κοινοποιούνται τόσο στον πελάτη όσο και στον εξουσιοδοτημένο ελεγκτή πριν επιλεγεί ένα σενάριο τελετής. Για περαιτέρω βοήθεια, το SSL.com έχει ετοιμάσει υλικό για την υποστήριξη του AWS Cloud HSM, όπως απαιτήσεις προετοιμασίας για τελετές και ένα σενάριο τελετής, το οποίο είναι διαθέσιμο επικοινωνώντας support@ssl.com κατά τη φάση της προετοιμασίας.
Ο πελάτης μπορεί να επιλέξει να δημιουργήσει το δικό του σενάριο μέσω του Qualified Auditor (QA), αλλά σε αυτήν την περίπτωση, συνιστούμε ανεπιφύλακτα να ελεγχθεί και να εγκριθεί το Σενάριο Τελετών από τους δικούς μας μηχανικούς πριν από τη χρήση.
Σε κάθε περίπτωση, ο Εξουσιοδοτημένος Ελεγκτής πρέπει να επαληθεύσει και να βεβαιώσει προσωπικά τα ακόλουθα, σχετικά με την Τελετή Δημιουργίας Ιδιωτικού Κλειδιού:
- Το υλικό ιδιωτικού κλειδιού δημιουργήθηκε σε HSM συμβατό με τουλάχιστον FIPS 140-2 Επίπεδο 2 και λειτουργεί σε λειτουργία τουλάχιστον FIPS 140-2 Επίπεδο 2.
- Το HSM και το υλικολογισμικό που χρησιμοποιήθηκαν στην τελετή ήταν γνήσια και η έκδοση υλικολογισμικού δεν σχετίζεται με γνωστά τρωτά σημεία
- Το λογισμικό που χρησιμοποιήθηκε για την τελετή ήταν το επίσημο λογισμικό HSM που παρέχεται από τον κατασκευαστή και η ακεραιότητά του επαληθεύτηκε από την QA
- Όλες οι επικοινωνίες με το HSM κατά τη διαδικασία δημιουργίας κλειδιού κρυπτογραφήθηκαν και αλληλοεπικυρώθηκαν με κρυπτογραφικά μέσα
- Το υλικό ιδιωτικού κλειδιού δημιουργήθηκε μέσα στο HSM και δεν εισήχθη
- Το υλικό ιδιωτικού κλειδιού δεν έχει επισημανθεί ως εξαγώγιμο (το χαρακτηριστικό PKCS #11 "CKA_EXTRACTABLE/CKA_EXPORTABLE") και δεν ήταν ποτέ.
- Το υλικό ιδιωτικού κλειδιού επισημαίνεται ως ευαίσθητο (PKCS #11 χαρακτηριστικό "CKA_SENSITIVE") και ήταν πάντα.
- Η πρόσβαση στο υλικό κλειδιού που δημιουργείται απαιτεί έλεγχο ταυτότητας χρήστη
- Το QA ήταν παρών, ακολούθησε όλες τις διαδικασίες της τελετής και δεν υπήρχαν υποψίες ή στοιχεία για φάουλ.
Εκτός από τις παραπάνω απαιτήσεις, το QA πιστοποιεί ότι το περιβάλλον λειτουργίας του Συνδρομητή επιτυγχάνει ένα επίπεδο ασφάλειας τουλάχιστον ισοδύναμο με εκείνο του FIPS 140-2 Επίπεδο 2.
Συμπέρασμα
Το BYOA είναι μια έγκυρη και χρήσιμη εναλλακτική λύση για τις περιπτώσεις που η απομακρυσμένη βεβαίωση δεν είναι διαθέσιμη για πιστοποιητικά Extended Validation Code Signing και Adobe Approved Trust List. Το SSL.com διασφαλίζει ότι οι πελάτες είναι πλήρως προετοιμασμένοι για τη διαδικασία και τους παρέχεται υποστήριξη ανώτατου επιπέδου σε περίπτωση που χρησιμοποιούν αυτήν την επιλογή.
