Migliori pratiche sull'abilitazione delle firme LTV per la firma dei documenti utilizzando HSM autogestiti

Contenuto relativo

Vuoi continuare a imparare?

Iscriviti alla newsletter di SSL.com, rimani informato e sicuro.

SSL.com fornisce servizi di firma cloud remota chiavi in ​​mano tramite la nostra API per le operazioni di firma eSigner che include l'archiviazione e la gestione delle chiavi private.

Tuttavia, molti utenti preferiscono utilizzare il proprio HSM o il servizio HSM cloud per archiviare le chiavi private utilizzate per firmare i documenti. 

Le firme LTV consentono la verifica senza fare affidamento su sistemi o repository esterni. Tutte le informazioni necessarie per la convalida sono incluse nel documento stesso, rendendolo autonomo. Ciò è particolarmente importante per la verifica a lungo termine, poiché i sistemi o i repository esterni potrebbero non essere più disponibili o cambiare nel tempo.

Con le firme LTV, il processo di verifica rimane indipendente e autosufficiente.

Di seguito è riportato un elenco di best practice a cui gli utenti possono fare riferimento per abilitare le firme LTV per la firma dei documenti quando si utilizza il proprio HSM o il servizio HSM cloud.

  1. Preparare il documento: assicurati che il documento che desideri firmare sia in un formato adatto, ad esempio PDF/A o un semplice documento PDF. PDF/A è specificatamente progettato per l'archiviazione a lungo termine e garantisce il mantenimento dell'integrità del documento nel tempo.

  2. Utilizza timestamp crittografici: le firme LTV richiedono una fonte di tempo affidabile e attendibile. I timestamp crittografici forniscono ciò collegando in modo sicuro la firma a un momento specifico, impedendo qualsiasi retrodatazione o manomissione. Utilizza un'autorità di timestamp affidabile come SSL.com o un servizio di timestamp interno alla tua organizzazione.
    Il server di timestamp di SSL.com è all'indirizzo http://ts.ssl.com/. Per impostazione predefinita, SSL.com supporta i timestamp delle chiavi ECDSA.

    Se riscontri questo errore: Il certificato di timestamp non soddisfa un requisito di lunghezza minima della chiave pubblica, è possibile che il tuo fornitore HSM non consenta timestamp dalle chiavi ECDSA a meno che non venga effettuata una richiesta.

    Se il tuo fornitore HSM non ha modo di consentire l'utilizzo dell'endpoint normale, puoi utilizzare questo endpoint legacy http://ts.ssl.com/legacy per ottenere un timestamp da un'unità di timestamp RSA.

  3. Conserva le informazioni sulla revoca del certificato: Per mantenere la validità delle firme nel tempo, è fondamentale preservare le informazioni sulla revoca del certificato. Ciò include le risposte agli elenchi di revoche di certificati (CRL) o al protocollo OCSP (Online Certificate Status Protocol) utilizzate per verificare il certificato del firmatario. 

    Per gli utenti della lingua Java, è possibile fare riferimento a Libreria Java PDFBox che contiene esempi per creare firme LTV. Include anche esempi di timestamp della firma. 

    Di seguito è riportato un codice di esempio su come incorporare le informazioni di revoca (CRL) della catena di certificati di firma del documento all'interno del documento PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup

  4. Archiviare i documenti firmati: Mantieni un archivio sicuro e organizzato di tutti i documenti firmati, comprese eventuali versioni intermedie. Ciò garantisce che i documenti firmati e le informazioni di convalida associate, come timestamp e dati di revoca, siano prontamente disponibili per la verifica a lungo termine. Implementare meccanismi di archiviazione adeguati per impedire l'accesso non autorizzato, la manomissione o la perdita di dati.

  5. Verificare la firma: implementare un processo di verifica per garantire che la firma possa essere convalidata correttamente. Ciò comporta l'utilizzo della chiave pubblica associata al certificato di firma per verificare l'integrità della firma, il controllo della validità del timestamp e la verifica dello stato di revoca del certificato.

  6. Configurare correttamente gli HSM: garantire che gli HSM siano configurati e mantenuti correttamente e aderiscano agli standard di settore e alle migliori pratiche per la gestione delle chiavi, come la rotazione delle chiavi, controlli di accesso rigorosi e audit regolari.

  7. Monitorare e aggiornare i controlli di sicurezza: monitora regolarmente i controlli di sicurezza e le configurazioni della tua infrastruttura di firma, inclusi gli HSM, i servizi di timestamp e i sistemi di archiviazione. Rimani aggiornato con patch di sicurezza, aggiornamenti firmware e best practice del settore per le tecnologie HSM e di firma dei documenti.

Per soluzioni di firma dei documenti HSM autogestite, contattare vendite@ssl.com.

Modulo di richiesta del servizio Cloud HSM

Se desideri ordinare certificati digitali per l'installazione su una piattaforma HSM cloud supportata (AWS CloudHSM o HSM dedicato di Azure), compila e invia il modulo sottostante. Dopo aver ricevuto la tua richiesta, un membro dello staff di SSL.com ti contatterà con maggiori dettagli sul processo di ordinazione e attestazione.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.