Traiga su propia certificación Auditor Cloud HSM

Ver todas las guías

Emitir certificados digitales para la firma de código de validación extendida o Firma de documentos de Adobe requiere el gcreación de una clave con ciertas propiedades de seguridad. Cuando se genera, la clave debe marcarse como "sensible" (lo que significa que la clave no se puede mostrar en texto plano) y, lo que es más importante, no exportable (no se puede revelar incluso cuando está cifrada) desde el HSM. Hay varias rutas a seguir para este procedimiento, como obtener un token seguro de SSL.com con certificados preinstalados. Este artículo se centra en el caso en el que los clientes optan por utilizar su propia cuenta HSM física o HSM en la nube y contratan a un profesional calificado de su elección para dar fe de la correcta ejecución de este proceso.

¡Firma de documentos, firma de códigos, eSealing y más con eSigner! Haga click abajo para más información.

MÁS INFORMACIÓN

¿Qué es la atestación?

Antes de que SSL.com pueda firmar y emitir Firma de código EV o certificados de firma de documentos de confianza de Adobe, primero debemos obtener una prueba de que la clave de firma privada del cliente ha sido generada y almacenada de forma segura en un dispositivo certificado FIPS 140-2 Nivel 2 (o superior), desde el cual no se puede exportar. El acto de probar que una clave privada cumple con estos requisitos se conoce como certificación. Los procedimientos exactos para la certificación de la clave privada varían entre dispositivos y plataformas de computación en la nube.

Algunos servicios, como HSM de la nube de Google, proporcione una atestación remota mediante la emisión de un certificado único para cada HSM utilizado, que cuando se combina con el certificado único emitido por el fabricante del HSM es suficiente para proporcionar certeza de que la clave generada posee los atributos requeridos y cumple con PKCS # 11. Dicha certificación se considera evidencia suficiente para que SSL.com garantice la elegibilidad de la clave.

Sin embargo, hay servicios, sobre todo AWS, que no proporcionan certificación de clave remota. En este caso, la certificación se realiza mediante un procedimiento manual que se denomina Ceremonia de generación de claves (KGC). El KGC requiere la validación de un auditor altamente capacitado en el campo. El cliente puede utilizar un experto interno de SSL.com, pero también puede optar por utilizar un profesional independiente de su elección. Esto se conoce como Traiga su propio auditor (BYOA). Para garantizar que el proceso proporcione una validación adecuada, es necesario controlar los siguientes campos:

  • La elegibilidad del profesional elegido (auditor) que proporcionará un KGC adecuado
  • El proceso de preparación y ejecución de KGC
  • Los requisitos mínimos que debe verificar e informar el auditor.

Proceso KGC: preparación y pautas

BYOA es una alternativa válida para los clientes, pero requiere una preparación minuciosa, de lo contrario, existe un riesgo significativo de rechazo de la clave generada. Esto podría suceder si el dispositivo utilizado no cumple con los requisitos, el auditor no está calificado o el informe del auditor no cubre los requisitos del proceso. En tal caso, la ceremonia y su testimonio deben repetirse, lo que genera costos adicionales y demoras para el cliente. 

Para evitar tales escenarios, el soporte al cliente de SSL.com y / o los especialistas en validación se comunican con el cliente antes del KGC para brindar orientación y garantizar lo siguiente:

  • El auditor es aprobado de acuerdo con los criterios que se describen a continuación.
  • Los requisitos de preparación de la ceremonia, así como el guión de la ceremonia, son claros y se siguen a fondo, por lo que el entorno de KGC está bien preparado.
  • Cualquier restricción y / o términos y condiciones específicos de BYOA son claros y aceptados por el cliente.

Elegibilidad del auditor de KGC

Los clientes que soliciten certificados de firma de código EV o firma de documentos de confianza de Adobe pueden presentar la solicitud de firma de certificado (CSR) y una confirmación de un profesional independiente (BYOA) de que el par de claves se generó y almacenó en un HSM aprobado, en un entorno operativo aprobado y de conformidad con todos los atributos de PKCS # 11.

SSL.com ha establecido una serie de criterios para asegurar la competencia y ética del profesional que elija el cliente. Estos criterios, que también se utilizan para evaluar y aprobar a los auditores afiliados de SSL.com, existen para garantizar la seguridad y conformidad del producto de firma (certificado de firma de código EV o firma de documento de confianza de Adobe).

Los criterios que se consideran para la aceptación o rechazo de la certificación de un auditor son:

  • Competencia técnica: El auditor debe estar calificado en el campo de la certificación digital y la ciberseguridad.
  • Competencia de auditoría: El auditor debe demostrar la calificación de su capacidad de auditoría a través de una certificación personal adecuada o capacidad profesional (por ejemplo, auditor de Webtrust / ETSI, Cloud Security Alliance CCAK).
  • Ética: Una verificación de que existe un Código de Ética vinculante, por ejemplo, como parte de la certificación del auditor.
  • La capacidad de verificar la información del auditor anterior: Una verificación con una fuente pública (por ejemplo, registro de auditores) para verificar la certificación.

Estos criterios son verificados por especialistas en validación de SSL.com antes de ser aceptados. SSL.com mantiene una lista de certificaciones aprobadas por BYOA para los criterios anteriores, junto con una lista de auditores afiliados para la conveniencia de los clientes. 

Esta información se revela al cliente durante la fase de preparación. Para obtener más información, póngase en contacto support@ssl.com

Requisitos de certificación de KGC

La fase de preparación es crucial para evitar contratiempos en la ceremonia que podrían generar costos y retrasos adicionales. La atención al cliente en SSL.com garantiza que todos los requisitos de auditoría se comuniquen tanto al cliente como al auditor calificado antes de que se seleccione un guión de ceremonia. Para ayudar aún más, SSL.com ha preparado material para respaldar AWS Cloud HSM, como los requisitos de preparación de la ceremonia y un guión de la ceremonia, que están disponibles al comunicarse con support@ssl.com durante la fase de preparación. 

El cliente puede optar por crear su propio guión a través del Auditor Cualificado (QA) pero en este caso, recomendamos encarecidamente que el Guión de Ceremonia sea revisado y aprobado por nuestros propios ingenieros antes de su uso.

En todo caso, el Auditor Cualificado deberá verificar personalmente y dar fe de lo siguiente, respecto a la Ceremonia de Generación de Clave Privada:

  • El material de clave privada se creó en un HSM compatible con al menos FIPS 140-2 Nivel 2 y funciona como mínimo en el modo FIPS 140-2 Nivel 2.
  • El HSM y el firmware utilizados en la ceremonia eran genuinos y la versión del firmware no está asociada con ninguna vulnerabilidad conocida.
  • El software utilizado para la ceremonia fue el software HSM oficial proporcionado por el fabricante y su integridad fue verificada por el QA.
  • Todas las comunicaciones con el HSM durante el proceso de generación de claves se cifraron y se autenticaron mutuamente a través de medios criptográficos.
  • El material de clave privada se creó dentro del HSM y no se importó
  • El material de clave privada no está marcado como extraíble (atributo PKCS # 11 “CKA_EXTRACTABLE / CKA_EXPORTABLE”) y nunca lo fue.
  • El material de clave privada está marcado como confidencial (atributo PKCS # 11 "CKA_SENSITIVE") y siempre lo fue.
  • El acceso al material de claves generado requiere la autenticación del usuario
  • El QA estuvo presente, ha seguido todos los procesos de la ceremonia y no hubo sospechas ni evidencias de juego sucio.

Además de los requisitos anteriores, el QA da fe de que el entorno operativo del suscriptor alcanza un nivel de seguridad al menos equivalente al de FIPS 140-2 Nivel 2.

Conclusión

BYOA es una alternativa válida y útil para los casos en que la atestación remota no está disponible para los certificados de Firma de código de validación extendida y Lista de confianza aprobada por Adobe. SSL.com se asegura de que los clientes estén completamente preparados para el procedimiento y se les proporcione soporte de alto nivel en caso de que utilicen esta opción. 

Twitter
Facebook
Etiqueta LinkedIn
Reddit
Correo electrónico

Giannis Naziridis

Todos los mensajes "

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.

Tomar encuesta