Menerbitkan sertifikat digital untuk Penandatanganan Kode Validasi yang Diperpanjang atau Penandatanganan Dokumen Adobe membutuhkan gpembangkitan kunci dengan sifat keamanan tertentu. Saat dibuat, kunci harus ditandai sebagai "sensitif" (artinya kunci tidak dapat ditampilkan dalam teks biasa) dan, yang lebih penting, tidak dapat diekspor (tidak dapat diungkapkan bahkan saat dienkripsi) dari HSM. Ada beberapa jalur yang harus diikuti untuk prosedur ini, seperti mendapatkan token aman dari SSL.com dengan sertifikat yang sudah diinstal sebelumnya. Artikel ini berfokus pada kasus di mana klien memilih untuk menggunakan akun HSM fisik atau cloud HSM mereka sendiri dan mempekerjakan profesional yang memenuhi syarat pilihan mereka untuk membuktikan pelaksanaan yang tepat dari proses ini.
Apa itu Atestasi?
Sebelum SSL.com dapat menandatangani dan menerbitkan Penandatanganan Kode EV atau sertifikat Penandatanganan Dokumen Tepercaya Adobe, pertama-tama kita harus mendapatkan bukti bahwa kunci penandatanganan pribadi pelanggan telah dibuat oleh dan disimpan dengan aman di perangkat bersertifikat FIPS 140-2 Level 2 (atau lebih tinggi), yang darinya tidak dapat diekspor. Tindakan membuktikan bahwa kunci pribadi memenuhi persyaratan ini dikenal sebagai pengesahan. Prosedur yang tepat untuk pengesahan kunci pribadi bervariasi antara perangkat dan platform komputasi awan.
Beberapa layanan, seperti HSM Google Cloud, memberikan pengesahan jarak jauh dengan menerbitkan sertifikat unik untuk setiap HSM yang digunakan, yang bila digabungkan dengan sertifikat unik yang dikeluarkan oleh pabrikan HSM sudah cukup untuk memberikan kepastian bahwa kunci yang dihasilkan memiliki atribut yang diperlukan dan sesuai dengan PKCS #11. Pengesahan semacam itu dianggap sebagai bukti yang cukup bagi SSL.com untuk memastikan kelayakan kunci.
Namun, ada layanan, terutama AWS, yang tidak menyediakan pengesahan kunci jarak jauh. Dalam hal ini, pengesahan dilakukan dengan prosedur manual yang disebut Upacara Pembangkitan Kunci (KGC). KGC membutuhkan validasi dari auditor yang sangat ahli di bidangnya. Klien dapat menggunakan ahli internal dari SSL.com, tetapi juga dapat memilih untuk menggunakan profesional independen pilihan mereka. Ini disebut sebagai Bring Your Own Auditor (BYOA). Untuk memastikan bahwa proses memberikan validasi yang memadai, bidang berikut perlu dikontrol:
- Kelayakan profesional terpilih (auditor) yang harus memberikan KGC yang tepat
- Proses persiapan dan pelaksanaan KGC
- Persyaratan minimum yang harus diperiksa dan dilaporkan oleh auditor
Proses KGC: Persiapan dan pedoman
BYOA adalah alternatif yang valid untuk klien, tetapi memerlukan persiapan yang matang, jika tidak, ada risiko penolakan yang signifikan untuk kunci yang dihasilkan. Hal ini dapat terjadi jika perangkat yang digunakan tidak sesuai, atau auditor tidak memenuhi syarat, atau laporan auditor tidak mencakup persyaratan proses. Dalam kasus seperti itu, upacara dan kesaksiannya harus diulang, mengakibatkan biaya tambahan dan penundaan bagi klien.
Untuk menghindari skenario seperti itu, dukungan pelanggan SSL.com dan/atau spesialis validasi berkomunikasi dengan pelanggan sebelum KGC untuk memberikan panduan dan memastikan hal berikut:
- Auditor disetujui sesuai dengan kriteria yang dijelaskan di bawah ini:
- Persyaratan persiapan upacara serta naskah upacara jelas dan diikuti dengan seksama, sehingga lingkungan KGC siap
- Segala batasan dan/atau syarat dan ketentuan khusus BYOA jelas dan diterima oleh pelanggan
Kelayakan auditor KGC
Pelanggan yang meminta sertifikat Penandatanganan Kode EV atau Penandatanganan Dokumen Tepercaya Adobe dapat menunjukkan Permintaan Penandatanganan Sertifikat (CSR) dan konfirmasi dari profesional independen (BYOA) bahwa pasangan kunci dibuat dan disimpan dalam HSM yang disetujui, di bawah lingkungan pengoperasian yang disetujui, dan sesuai dengan semua atribut PKCS #11.
SSL.com telah menetapkan serangkaian kriteria untuk memastikan kompetensi dan etika profesional yang dipilih klien. Kriteria ini, yang juga digunakan untuk mengevaluasi dan menyetujui auditor afiliasi SSL.com, diterapkan untuk memastikan keamanan dan kesesuaian produk penandatanganan (Penandatanganan Kode EV atau sertifikat Penandatanganan Dokumen Tepercaya Adobe).
Kriteria yang dipertimbangkan untuk diterima atau ditolaknya sertifikasi dari seorang auditor adalah:
- Kompetensi teknis: Auditor harus memiliki kualifikasi di bidang sertifikasi digital dan keamanan siber
- Kompetensi audit: Auditor perlu membuktikan kualifikasi kapasitas auditnya melalui sertifikasi pribadi atau kapasitas profesional yang sesuai (misalnya auditor Webtrust/ETSI, Cloud Security Alliance CCAK).
- Etika: Pemeriksaan bahwa ada Kode Etik yang mengikat, misalnya sebagai bagian dari sertifikasi auditor.
- Kemampuan untuk memverifikasi informasi auditor di atas: Sebuah cek terhadap sumber publik (misalnya registri auditor) untuk memverifikasi sertifikasi.
Kriteria ini diperiksa oleh spesialis validasi SSL.com sebelum diterima. SSL.com menyimpan daftar sertifikasi yang disetujui BYOA untuk kriteria di atas, bersama dengan daftar auditor terafiliasi untuk kenyamanan klien.
Informasi ini diungkapkan kepada pelanggan selama fase persiapan. Untuk informasi lebih lanjut silahkan hubungi support@ssl.com.
Persyaratan pengesahan KGC
Tahap persiapan sangat penting untuk menghindari kecelakaan dalam upacara yang dapat menyebabkan biaya tambahan dan penundaan. Layanan pelanggan di SSL.com memastikan bahwa semua persyaratan audit dikomunikasikan kepada pelanggan dan auditor yang memenuhi syarat sebelum skrip upacara dipilih. Untuk bantuan lebih lanjut, SSL.com telah menyiapkan materi untuk mendukung AWS Cloud HSM, seperti persyaratan persiapan Upacara dan Skrip Upacara, yang tersedia dengan menghubungi support@ssl.com selama fase persiapan.
Klien dapat memilih untuk membuat skrip mereka sendiri melalui Qualified Auditor (QA) tetapi dalam kasus ini, kami sangat menyarankan agar Naskah Upacara ditinjau dan disetujui oleh teknisi kami sendiri sebelum digunakan.
Bagaimanapun, Auditor yang Memenuhi Kualifikasi harus secara pribadi memverifikasi dan membuktikan hal-hal berikut, mengenai Upacara Pembuatan Kunci Pribadi:
- Materi Kunci Pribadi dibuat dalam HSM yang sesuai dengan setidaknya FIPS 140-2 Level 2 dan beroperasi setidaknya dalam mode FIPS 140-2 Level 2.
- HSM dan firmware yang digunakan dalam upacara tersebut asli dan versi firmware tidak terkait dengan kerentanan yang diketahui
- Perangkat lunak yang digunakan untuk upacara tersebut adalah perangkat lunak HSM resmi yang disediakan oleh pabrikan dan integritasnya diverifikasi oleh QA
- Semua komunikasi dengan HSM selama proses pembuatan kunci dienkripsi dan diautentikasi bersama melalui sarana kriptografi
- Bahan Kunci Pribadi dibuat di dalam HSM dan tidak diimpor
- Bahan Kunci Pribadi tidak ditandai sebagai dapat diekstraksi (atribut PKCS #11 “CKA_EXTRACTABLE/CKA_EXPORTABLE”) dan tidak pernah ada.
- Materi Kunci Pribadi ditandai sebagai sensitif (atribut PKCS #11 “CKA_SENSITIVE”) dan selalu demikian.
- Akses ke materi kunci yang dihasilkan memerlukan otentikasi pengguna
- QA hadir, telah mengikuti semua proses upacara, dan tidak ada kecurigaan atau bukti kecurangan.
Selain persyaratan di atas, QA membuktikan bahwa lingkungan operasi Pelanggan mencapai tingkat keamanan setidaknya setara dengan FIPS 140-2 Level 2.
Kesimpulan
BYOA adalah alternatif yang valid dan berguna untuk kasus di mana pengesahan jarak jauh tidak tersedia untuk Penandatanganan Kode Validasi yang Diperpanjang dan sertifikat Daftar Kepercayaan yang Disetujui Adobe. SSL.com memastikan bahwa pelanggan benar-benar siap untuk prosedur dan diberikan dukungan tingkat atas jika mereka menggunakan opsi ini.
