Digitaalisten varmenteiden myöntäminen laajennettua validointikoodin allekirjoitusta varten tai Adobe-asiakirjan allekirjoitus vaatii gavaimen luominen joilla on tietyt suojausominaisuudet. Kun avain luodaan, se on merkittävä "herkäksi" (eli avainta ei voi näyttää selkeänä tekstinä) ja mikä tärkeintä, ei-vietäväksi (ei voida paljastaa edes salattuna) HSM:stä. Tässä menettelyssä on useita polkuja, kuten suojatun tunnuksen hankkiminen SSL.com-sivustolta esiasennetuilla varmenteilla. Tämä artikkeli keskittyy tapaukseen, jossa asiakkaat päättävät käyttää omaa fyysistä HSM- tai pilvi HSM-tiliään ja palkata valitsemansa pätevän ammattilaisen todistamaan tämän prosessin asianmukaisen suorittamisen.
Mikä on todistus?
Ennen kuin SSL.com voi allekirjoittaa ja myöntää EV-koodin allekirjoittaminen tai Adobe-Trusted Document Signing -varmenteita, meidän on ensin hankittava todiste siitä, että asiakkaan yksityinen allekirjoitusavain on luotu ja tallennettu turvallisesti FIPS 140-2 Level 2 (tai uudempi) sertifioidulla laitteella, josta sitä ei voi viedä. Todistaminen, että yksityinen avain täyttää nämä vaatimukset, tunnetaan nimellä todistaminen. Yksityisen avaimen varmentamisen tarkat menettelyt vaihtelevat laitteiden ja pilvipalvelualustojen välillä.
Jotkut palvelut, esim Google Cloud HSM, tarjota etätodistus myöntämällä yksilöllinen varmenne jokaiselle käytetylle HSM:lle, joka yhdistettynä HSM:n valmistajan myöntämään ainutlaatuiseen varmenteeseen riittää varmistamaan, että luodulla avaimella on vaaditut attribuutit ja se on PKCS #11 -yhteensopiva. Tällaista todistusta pidetään riittävänä todisteena, että SSL.com varmistaa avaimen kelpoisuuden.
On kuitenkin palveluita, erityisesti AWS, jotka eivät tarjoa etäavaimen vahvistusta. Tässä tapauksessa todistus tehdään manuaalisella menettelyllä, jota kutsutaan Key Generation Ceremonyiksi (KGC). KGC vaatii validoinnin alan korkeasti koulutetulta tilintarkastajalta. Asiakas voi käyttää SSL.comin sisäistä asiantuntijaa, mutta hän voi myös valita valitsemansa riippumattoman ammattilaisen. Tätä kutsutaan nimellä Bring Your Own Auditor (BYOA). Sen varmistamiseksi, että prosessi tarjoaa riittävän validoinnin, seuraavat kentät on valvottava:
- Valitun ammattilaisen (tilintarkastajan) kelpoisuus, joka toimittaa asianmukaisen KGC:n
- KGC:n valmistelu- ja toteutusprosessi
- Vähimmäisvaatimukset, jotka tilintarkastajan tulee tarkistaa ja raportoida
KGC-prosessi: Valmistelut ja ohjeet
BYOA on asiakkaille kelvollinen vaihtoehto, mutta se vaatii perusteellisen valmistelun, muuten on olemassa merkittävä riski luodun avaimen hylkäämisestä. Näin voi tapahtua, jos käytetty laite ei ole vaatimusten mukainen, tilintarkastaja ei ole pätevä tai tilintarkastajan kertomus ei kata prosessin vaatimuksia. Tällaisessa tapauksessa seremonia ja sen todistaminen on toistettava, mikä aiheuttaa lisäkustannuksia ja viivästyksiä asiakkaalle.
Tällaisten skenaarioiden välttämiseksi SSL.comin asiakastuki- ja/tai validointiasiantuntijat kommunikoivat asiakkaan kanssa ennen KGC:tä antaakseen ohjeita ja varmistaakseen seuraavat asiat:
- Tilintarkastaja hyväksytään alla kuvattujen kriteerien mukaisesti
- Seremonian valmisteluvaatimukset sekä seremonian käsikirjoitus ovat selkeitä ja niitä noudatetaan perusteellisesti, joten KGC-ympäristö on hyvin valmisteltu
- Kaikki rajoitukset ja/tai BYOA-kohtaiset ehdot ovat selkeitä ja asiakkaan hyväksymiä
KGC:n tilintarkastajan kelpoisuus
Asiakkaat, jotka pyytävät EV Code Signing - tai Adobe Trusted Document Signing -varmenteita, voivat esittää varmenteen allekirjoituspyynnön (CSR) ja vahvistuksen riippumattomalta ammattilaiselta (BYOA), että avainpari on luotu ja tallennettu hyväksytyssä HSM:ssä, hyväksytyssä käyttöympäristössä ja kaikkien PKCS #11 -attribuuttien mukaisesti.
SSL.com on asettanut joukon kriteerejä varmistaakseen asiakkaan valitseman ammattilaisen pätevyyden ja eettisyyden. Nämä kriteerit, joita käytetään myös SSL.comin sidoksissa olevien auditoijien arvioimiseen ja hyväksymiseen, ovat käytössä allekirjoitustuotteen turvallisuuden ja vaatimustenmukaisuuden varmistamiseksi (EV Code Signing tai Adobe-Trusted Document Signing -sertifikaatti).
Kriteerit, joita otetaan huomioon tilintarkastajan sertifioinnin hyväksymiselle tai hylkäämiselle ovat:
- Tekninen pätevyys: Tarkastajan on oltava pätevä digitaalisen sertifioinnin ja kyberturvallisuuden alalla
- Tarkastuspätevyys: Tarkastajan on osoitettava auditointikykynsä pätevyys asianmukaisella henkilökohtaisella sertifikaatilla tai ammatillisella pätevyydellä (esim. Webtrust/ETSI-audittori, Cloud Security Alliance CCAK).
- Etiikka: Sitovan eettisen säännöstön olemassaolon tarkistaminen esim. osana tilintarkastajan todistusta.
- Mahdollisuus tarkistaa yllä olevat tilintarkastajatiedot: Tarkastus julkisesta lähteestä (esim. tilintarkastajien rekisteristä) sertifioinnin varmistamiseksi.
SSL.comin validointiasiantuntijat tarkistavat nämä kriteerit ennen hyväksymistä. SSL.com ylläpitää luetteloa BYOA:n hyväksymistä sertifikaateista edellä mainituille kriteereille sekä luetteloa sidoksissa olevista tarkastajista asiakkaiden avuksi.
Nämä tiedot luovutetaan asiakkaalle valmisteluvaiheessa. Lisätietoja saat ottamalla yhteyttä support@ssl.com.
KGC:n todistusvaatimukset
Valmisteluvaihe on ratkaisevan tärkeä, jotta vältytään seremoniassa tapahtuvilta onnettomuuksilta, jotka voivat johtaa lisäkustannuksiin ja viivästyksiin. Asiakaspalvelu SSL.comissa varmistaa, että kaikki auditointivaatimukset ilmoitetaan sekä asiakkaalle että pätevälle tarkastajalle ennen seremoniakäsikirjoituksen valitsemista. Lisäavuksi SSL.com on valmistellut materiaalia AWS Cloud HSM:n tukemiseksi, kuten seremoniavalmisteluvaatimukset ja seremoniakäsikirjoituksen, jotka ovat saatavilla ottamalla yhteyttä support@ssl.com valmisteluvaiheen aikana.
Asiakas voi halutessaan luoda oman käsikirjoituksensa Qualified Auditorin (QA) kautta, mutta tässä tapauksessa suosittelemme, että omat suunnittelijamme tarkistavat ja hyväksyvät seremoniakäsikirjoituksen ennen käyttöä.
Pätevän tilintarkastajan tulee joka tapauksessa henkilökohtaisesti tarkistaa ja todistaa seuraavat yksityisen avaimen luomisseremoniaan liittyen:
- Yksityinen avainmateriaali luotiin HSM:ssä, joka on yhteensopiva vähintään FIPS 140-2 Level 2 -standardin kanssa, ja se toimii vähintään FIPS 140-2 Level 2 -tilassa.
- Seremoniassa käytetty HSM ja laiteohjelmisto olivat aitoja, eikä laiteohjelmistoversioon liity tunnettuihin haavoittuvuuksiin
- Seremoniassa käytetty ohjelmisto oli valmistajan toimittamaa virallista HSM-ohjelmistoa ja sen eheyden varmisti laadunvarmistus
- Kaikki viestintä HSM:n kanssa avaimen luontiprosessin aikana salattiin ja todettiin molemminpuolisesti salauskeinoilla
- Yksityisen avaimen materiaali luotiin HSM:n sisällä, eikä sitä tuotu
- Yksityisen avaimen materiaalia ei ole merkitty purettavaksi (PKCS #11 -attribuutti “CKA_EXTRACTABLE/CKA_EXPORTABLE”), eikä sitä ole koskaan merkittykään.
- Yksityisen avaimen materiaali on merkitty arkaluontoiseksi (PKCS #11 -attribuutti “CKA_SENSITIVE”) ja se on aina ollut.
- Luodun avainmateriaalin käyttö edellyttää käyttäjän todennusta
- Laadunvarmistus oli paikalla, on seurannut kaikkia seremoniaprosesseja, eikä ollut epäilyksiä tai todisteita rikoksesta.
Edellä mainittujen vaatimusten lisäksi laadunvarmistus todistaa, että Tilaajan toimintaympäristössä saavutetaan vähintään FIPS 140-2 Level 2 -tasoa vastaava turvallisuustaso.
Yhteenveto
BYOA on pätevä ja hyödyllinen vaihtoehto tapauksiin, joissa etätodennus ei ole saatavilla Extended Validation Code Signing - ja Adoben hyväksymille luottamusluettelon varmenteille. SSL.com varmistaa, että asiakkaat ovat perusteellisesti valmistautuneet menettelyyn ja saavat huipputason tukea, mikäli he käyttävät tätä vaihtoehtoa.
