Porta la tua attestazione di Auditor Cloud HSM

Emissione di certificati digitali per Extended Validation Code Signing o Firma del documento Adobe richiede il gattivazione di una chiave con determinate proprietà di sicurezza. Una volta generata, la chiave deve essere contrassegnata come "sensibile" (nel senso che la chiave non può essere mostrata in chiaro) e, soprattutto, non esportabile (non può essere rivelata anche se crittografata) dall'HSM. Esistono diversi percorsi da seguire per questa procedura, come ottenere un token sicuro da SSL.com con certificati preinstallati. Questo articolo si concentra sul caso in cui i clienti scelgono di utilizzare il proprio account HSM fisico o cloud HSM e impiegano un professionista qualificato di loro scelta per attestare la corretta esecuzione di questo processo.

Firma di documenti, firma di codici, eSealing e altro ancora con eSigner! Clicca sotto per maggiori informazioni.

SCOPRI DI PIÙ

Che cos'è l'attestazione?

Prima che SSL.com possa firmare ed emettere Firma del codice EV o certificati Adobe-Trusted Document Signing, dobbiamo prima ottenere la prova che la chiave di firma privata del cliente è stata generata e archiviata in modo sicuro in un dispositivo certificato FIPS 140-2 Livello 2 (o superiore), dal quale non può essere esportata. L'atto di dimostrare che una chiave privata soddisfa questi requisiti è noto come attestazione. Le procedure esatte per l'attestazione della chiave privata variano a seconda dei dispositivi e delle piattaforme di cloud computing.

Alcuni servizi, come HSM di Google Cloud, fornire un'attestazione remota emettendo un certificato univoco per ogni HSM utilizzato, che se combinato con il certificato univoco emesso dal produttore dell'HSM è sufficiente per garantire che la chiave generata possieda gli attributi richiesti ed è conforme a PKCS #11. Tale attestazione è considerata una prova sufficiente per SSL.com per garantire l'idoneità della chiave.

Tuttavia, esistono servizi, in particolare AWS, che non forniscono l'attestazione della chiave remota. In questo caso, l'attestazione avviene tramite una procedura manuale che prende il nome di Key Generation Ceremony (KGC). Il KGC richiede la convalida da parte di un revisore altamente qualificato nel settore. Il cliente può utilizzare un esperto interno di SSL.com, ma può anche scegliere di utilizzare un professionista indipendente di sua scelta. Questo è indicato come Bring Your Own Auditor (BYOA). Per garantire che il processo fornisca un'adeguata convalida, è necessario controllare i seguenti campi:

  • L'idoneità del professionista prescelto (revisore dei conti) che deve fornire un adeguato KGC
  • Il processo di preparazione ed esecuzione del KGC
  • I requisiti minimi che dovrebbero essere verificati e riportati dal revisore

Processo KGC: preparazione e linee guida

BYOA è una valida alternativa per i clienti, ma richiede una preparazione approfondita, altrimenti c'è un rischio significativo di rifiuto per la chiave generata. Ciò potrebbe accadere se il dispositivo utilizzato non è conforme, o l'auditor non è qualificato, o la relazione dell'auditor non copre i requisiti del processo. In tal caso, la cerimonia e la sua testimonianza devono essere ripetute, con conseguenti costi aggiuntivi e ritardi per il cliente. 

Per evitare tali scenari, l'assistenza clienti e/o gli specialisti di convalida di SSL.com comunicano con il cliente prima del KGC per fornire indicazioni e garantire quanto segue:

  • Il revisore è approvato secondo i criteri descritti di seguito
  • I requisiti per la preparazione della cerimonia e lo script della cerimonia sono chiari e seguiti accuratamente, così come l'ambiente KGC è ben preparato
  • Eventuali restrizioni e/o termini e condizioni specifici di BYOA sono chiari e accettati dal cliente

Idoneità del revisore KGC

I clienti che richiedono certificati EV Code Signing o Adobe Trusted Document Signing possono presentare la richiesta di firma del certificato (CSR) e una conferma da un professionista indipendente (BYOA) che la coppia di chiavi è stata generata e archiviata in un HSM approvato, in un ambiente operativo approvato e in conformità con tutti gli attributi PKCS #11.

SSL.com ha fissato una serie di criteri per garantire la competenza e l'etica del professionista che il cliente sceglie. Questi criteri, utilizzati anche per valutare e approvare i revisori affiliati di SSL.com, sono in atto per garantire la sicurezza e la conformità del prodotto di firma (certificato EV Code Signing o Adobe-Trusted Document Signing).

I criteri che vengono considerati per l'accettazione o il rifiuto della certificazione da parte di un revisore sono:

  • Competenza tecnica: L'auditor deve essere qualificato nel campo della certificazione digitale e della sicurezza informatica
  • Competenza di revisione: L'auditor deve dimostrare la qualificazione della sua capacità di auditing attraverso un'adeguata certificazione personale o capacità professionale (ad es. auditor Webtrust/ETSI, Cloud Security Alliance CCAK).
  • Etica: Una verifica dell'esistenza di un Codice Etico vincolante, ad esempio nell'ambito della certificazione dell'auditor.
  • La capacità di verificare le informazioni del revisore di cui sopra: Un controllo su una fonte pubblica (es. registro dei revisori dei conti) per verificare la certificazione.

Questi criteri vengono verificati dagli specialisti di convalida di SSL.com prima di essere accettati. SSL.com mantiene un elenco di certificazioni approvate da BYOA per i criteri di cui sopra, insieme a un elenco di revisori affiliati per comodità dei clienti. 

Tali informazioni vengono comunicate al cliente durante la fase di predisposizione. Per ulteriori informazioni, si prega di contattare supporto@ssl.com

Requisiti per l'attestazione KGC

La fase di preparazione è fondamentale per evitare contrattempi nella cerimonia che potrebbero comportare costi aggiuntivi e ritardi. L'assistenza clienti in SSL.com garantisce che tutti i requisiti di auditing siano comunicati sia al cliente che all'auditor qualificato prima che venga selezionato uno script di cerimonia. Per ulteriore assistenza, SSL.com ha preparato materiale per supportare AWS Cloud HSM, come i requisiti per la preparazione della cerimonia e uno script per la cerimonia, disponibili contattando supporto@ssl.com durante la fase di preparazione. 

Il cliente può scegliere di creare il proprio script tramite l'auditor qualificato (QA), ma in questo caso, si consiglia vivamente che lo script della cerimonia venga rivisto e approvato dai nostri ingegneri prima dell'uso.

In ogni caso, il Revisore Qualificato deve personalmente verificare e attestare quanto segue, in merito alla Cerimonia di Generazione della Chiave Privata:

  • Il materiale della chiave privata è stato creato in un HSM conforme almeno a FIPS 140-2 Livello 2 e funziona almeno in modalità FIPS 140-2 Livello 2.
  • L'HSM e il firmware utilizzati nella cerimonia erano autentici e la versione del firmware non è associata ad alcuna vulnerabilità nota
  • Il software utilizzato per la cerimonia era un software ufficiale HSM fornito dal produttore e la sua integrità è stata verificata dal QA
  • Tutte le comunicazioni con l'HSM durante il processo di generazione della chiave sono state crittografate e reciprocamente autenticate tramite mezzi crittografici
  • Il materiale della chiave privata è stato creato all'interno dell'HSM e non è stato importato
  • Il materiale della chiave privata non è contrassegnato come estraibile (attributo PKCS #11 "CKA_EXTRACTABLE/CKA_EXPORTABLE") e non lo è mai stato.
  • Il materiale della chiave privata è contrassegnato come sensibile (attributo PKCS #11 "CKA_SENSITIVE") e lo è sempre stato.
  • L'accesso al materiale della chiave generata richiede l'autenticazione dell'utente
  • Il QA era presente, ha seguito tutti i processi della cerimonia e non c'erano sospetti o prove di gioco scorretto.

Oltre ai requisiti di cui sopra, il QA attesta che l'ambiente operativo del Sottoscrittore raggiunge un livello di sicurezza almeno equivalente a quello di FIPS 140-2 Livello 2.

Conclusione

BYOA è un'alternativa valida e utile nei casi in cui l'attestazione remota non sia disponibile per i certificati Extended Validation Code Signing e Adobe Approved Trust List. SSL.com si assicura che i clienti siano accuratamente preparati per la procedura e forniti di un supporto di alto livello nel caso in cui utilizzino questa opzione. 

Twitter
Facebook
LinkedIn
Reddit
Email

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.