Digitális tanúsítványok kiadása kiterjesztett érvényesítési kódaláíráshoz ill Adobe dokumentum aláírás szükséges a gkulcs generálása bizonyos biztonsági tulajdonságokkal. Generálásakor a kulcsot „érzékeny” jelzéssel kell ellátni (ami azt jelenti, hogy a kulcs nem jeleníthető meg egyszerű szövegben), és ami még fontosabb, nem exportálható (még titkosítva sem fedhető fel) a HSM-ből. Ehhez az eljáráshoz többféle utat kell követni, például biztonságos token beszerzése az SSL.com webhelyről előre telepített tanúsítványokkal. Ez a cikk arra az esetre összpontosít, amikor az ügyfelek saját fizikai HSM- vagy felhőalapú HSM-fiókjuk használatát választják, és egy általuk választott képzett szakembert alkalmaznak a folyamat megfelelő végrehajtásának tanúsítására.
Mi az a tanúsítás?
Mielőtt az SSL.com aláírhatná és kiadhatná EV kód aláírása vagy Adobe-Trusted Document Signing tanúsítványok esetén először bizonyítékot kell beszereznünk arra vonatkozóan, hogy az ügyfél privát aláírási kulcsát egy FIPS 140-2 Level 2 (vagy magasabb szintű) tanúsítvánnyal rendelkező eszköz állította elő és biztonságosan tárolja, ahonnan nem exportálható. Az a cselekmény, amely annak bizonyítására szolgál, hogy egy privát kulcs megfelel ezeknek a követelményeknek, az úgynevezett hitelesítés. A magánkulcs hitelesítésének pontos eljárásai az eszközök és a felhőalapú számítástechnikai platformok szerint változnak.
Egyes szolgáltatások, pl Google Cloud HSM, távoli tanúsítványt biztosít minden használt HSM-hez egyedi tanúsítvány kiadásával, amely a HSM gyártója által kiadott egyedi tanúsítvánnyal kombinálva elegendő annak biztosításához, hogy a generált kulcs rendelkezik a szükséges attribútumokkal, és megfelel a PKCS #11 szabványnak. Az ilyen tanúsítvány elegendő bizonyítéknak minősül az SSL.com számára a kulcs alkalmasságának biztosításához.
Vannak azonban olyan szolgáltatások, különösen az AWS, amelyek nem biztosítanak távoli kulcs tanúsítást. Ebben az esetben a tanúsítás manuális eljárással történik, amelyet kulcsgenerálási ceremóniának (KGC) neveznek. A KGC hitelesítést igényel a területen magasan képzett auditortól. Az ügyfél igénybe veheti az SSL.com házon belüli szakértőjét, de választhat független szakembert is. Ezt hívják Bring Your Own Auditornak (BYOA). Annak érdekében, hogy a folyamat megfelelő érvényesítést biztosítson, a következő mezőket kell ellenőrizni:
- A kiválasztott szakember (könyvvizsgáló) alkalmassága, aki megfelelő KGC-t biztosít
- A KGC előkészítési és kivitelezési folyamata
- Minimális követelmények, amelyeket a könyvvizsgálónak ellenőriznie és jelentenie kell
KGC folyamat: Előkészítés és irányelvek
A BYOA érvényes alternatíva az ügyfelek számára, de alapos előkészítést igényel, ellenkező esetben jelentős a generált kulcs elutasításának kockázata. Ez akkor fordulhat elő, ha a használt eszköz nem megfelelő, vagy a könyvvizsgáló nem rendelkezik képesítéssel, vagy a könyvvizsgálói jelentés nem fedi le a folyamat követelményeit. Ebben az esetben a szertartást és annak tanúsítását meg kell ismételni, ami többletköltséget és késedelmet eredményez az ügyfél számára.
Az ilyen forgatókönyvek elkerülése érdekében az SSL.com ügyfélszolgálati és/vagy érvényesítési szakemberei a KGC előtt kommunikálnak az ügyféllel, hogy útmutatást nyújtsanak és biztosítsák a következőket:
- A könyvvizsgálót az alábbiakban ismertetett kritériumok szerint hagyják jóvá
- A ceremónia előkészületei, valamint a ceremónia forgatókönyve világosak és alaposan követik, így a KGC környezet jól felkészült
- A korlátozások és/vagy a BYOA-specifikus feltételek egyértelműek és az ügyfél által elfogadottak
KGC könyvvizsgálói jogosultság
Az EV Code Signing vagy Adobe Trusted Document Signing tanúsítványt igénylő ügyfelek bemutathatják a tanúsítvány aláírási kérelmet (CSR) és egy független szakember (BYOA) igazolása arról, hogy a kulcspárt jóváhagyott HSM-ben hozták létre és tárolták, jóváhagyott működési környezetben, és megfelel az összes PKCS #11 attribútumnak.
Az SSL.com egy sor kritériumot állított fel, hogy biztosítsa az ügyfél által választott szakember kompetenciáját és etikáját. Ezek a kritériumok, amelyeket az SSL.com kapcsolt auditorainak értékelésére és jóváhagyására is használnak, az aláíró termék (EV Code Signing vagy Adobe-Trusted Document Signing tanúsítvány) biztonságának és megfelelőségének biztosítására szolgálnak.
A könyvvizsgálói tanúsítvány elfogadásának vagy elutasításának kritériumai a következők:
- Műszaki hozzáértés: Az auditornak képesítéssel kell rendelkeznie a digitális tanúsítás és a kiberbiztonság területén
- Auditálási kompetencia: Az auditornak megfelelő személyes tanúsítvánnyal vagy szakmai alkalmassággal (pl. Webtrust/ETSI auditor, Cloud Security Alliance CCAK) kell igazolnia auditálási képességének minősítését.
- Etika: Annak ellenőrzése, hogy létezik-e kötelező Etikai Kódex, pl. a könyvvizsgálói tanúsítvány részeként.
- A fenti auditor információk ellenőrzésének képessége: Nyilvános forrásból (pl. könyvvizsgálói nyilvántartásból) való ellenőrzés a tanúsítás igazolására.
Ezeket a feltételeket az SSL.com érvényesítési szakemberei ellenőrzik, mielőtt elfogadják őket. Az SSL.com az ügyfelek kényelmét szolgálja a BYOA által jóváhagyott tanúsítványok listáját a fenti kritériumoknak megfelelően, valamint a kapcsolt auditorok listáját.
Ezt az információt az előkészítési szakaszban közöljük az ügyféllel. További információért forduljon support@ssl.com.
KGC tanúsítási követelmények
Az előkészítő szakasz döntő fontosságú a szertartás során bekövetkező szerencsétlenségek elkerülése érdekében, amelyek többletköltségekhez és késésekhez vezethetnek. Az SSL.com ügyfélszolgálata biztosítja, hogy minden auditálási követelményt közöljenek mind az ügyféllel, mind a minősített auditorral az ünnepség forgatókönyvének kiválasztása előtt. A további segítség érdekében az SSL.com olyan anyagokat készített az AWS Cloud HSM támogatására, mint például a ceremónia előkészítési követelményei és a ceremónia szkriptje, amelyek elérhetők a következő címen: support@ssl.com az előkészítési szakaszban.
Az ügyfél dönthet úgy, hogy saját szkriptet hoz létre a minősített auditoron (QA) keresztül, de ebben az esetben erősen javasoljuk, hogy a ceremónia szkriptjét használat előtt saját mérnökeink vizsgálják felül és hagyják jóvá.
A minősített könyvvizsgálónak minden esetben személyesen kell ellenőriznie és igazolnia a következőket a Privát kulcs előállítási ceremóniával kapcsolatban:
- A privát kulcsanyag legalább FIPS 140-2 2. szintű szabványnak megfelelő HSM-ben készült, és legalább FIPS 140-2 2. szintű módban működik.
- Az ünnepségen használt HSM és firmware eredeti volt, és a firmware verzióhoz nem társul semmilyen ismert sebezhetőség
- Az ünnepséghez használt szoftver a gyártó által biztosított hivatalos HSM szoftver volt, melynek integritását a minőségbiztosítási hatóság ellenőrizte.
- A kulcsgenerálási folyamat során a HSM-mel folytatott összes kommunikációt titkosították, és kriptográfiai eszközökkel kölcsönösen hitelesítették
- A privát kulcsanyagot a HSM-en belül hozták létre, és nem importálták
- A Private Key Material nincs megjelölve kivonhatóként (PKCS #11 attribútum „CKA_EXTRACTABLE/CKA_EXPORTABLE”), és soha nem is volt az.
- A Private Key Material meg van jelölve érzékenyként (PKCS #11 attribútum „CKA_SENSITIVE”), és mindig is az volt.
- A generált kulcsanyaghoz való hozzáférés felhasználói hitelesítést igényel
- A QA jelen volt, követte a ceremónia összes folyamatát, és nem volt gyanú vagy bizonyíték a szabálytalanságra.
A fenti követelményeken túl a minőségbiztosítás tanúsítja, hogy az Előfizető működési környezete a FIPS 140-2 2. szintű biztonsági szintjével legalább egyenértékű.
Következtetés
A BYOA érvényes és hasznos alternatíva azokra az esetekre, amikor a távoli tanúsítás nem érhető el a kiterjesztett érvényességi kódaláírás és az Adobe által jóváhagyott megbízhatósági lista tanúsítványaihoz. Az SSL.com gondoskodik arról, hogy az ügyfelek alaposan felkészüljenek az eljárásra, és felső szintű támogatást kapjanak, amennyiben élnek ezzel a lehetőséggel.
