SSL.comは、Yubikey FIPSトークンにプリインストールされたコード署名証明書を出荷しており、 Thales SafeNet (Gemalto) USBからどちらも、コード署名による安全な認証に使用されるハードウェア デバイスです。コード署名とは、X.509 証明書を使用してコード、ソフトウェア、またはその他の実行ファイルにデジタル署名し、製品が改ざんされたり、侵害されたりしていないことを確認するプロセスです。それぞれが、ユーザーや組織の特定のニーズに応じて独自の機能と利点を提供します。長所と短所の詳細な比較は次のとおりです。
YubiKeyトークン
メリット
- 汎用性: YubiKey は、FIDO U2F、FIDO2、スマート カード (PIV)、OTP など、複数の認証プロトコルをサポートしているため、さまざまなセキュリティ ニーズに柔軟に対応できます。
- 使いやすさ: YubiKey はシンプルさで知られており、認証にはタッチするだけで済むため、セキュリティを損なうことなくユーザーの利便性が向上します。
- 耐久性: いくつかの Yubikey モデルは耐衝撃性と耐水性に優れているため、外出中のユーザーにとっても耐久性に優れています。
- 幅広い統合: YubiKey はさまざまなプラットフォームやサービスで幅広くサポートされているため、マルチプラットフォームの互換性を必要とするユーザーにとっての利便性が向上します。
- リモート認証: SSL.com のお客様は、世界中のどこからでも自分の YubiKey にキー ペアと、秘密キーがデバイス上で生成されたことを証明する認証証明書を生成できます。認証証明書は、SSL.com からコードおよびドキュメント署名証明書を注文する際に使用でき、YubiKey に手動でインストールできます。
デメリット
- コスト: YubiKey は他のセキュリティ トークンに比べて高価になる可能性があるため、予算を重視する企業や個人にとっては考慮すべき点となる可能性があります。
- 物理デバイス: 物理デバイスであるため、紛失や盗難の可能性があり、適切に管理されていない場合はリスクが生じる可能性があります。
- ストレージの制限: 一部の YubiKey モデルでは、他のソリューションと比較して、保存できる資格情報または証明書の数に制限があります。
- RSA キー サイズの制限: Yubikey トークンは、2048 ビットを超える RSA アルゴリズム キー サイズをサポートできません。これは、カーネル モード ドライバーに署名して、最小 RSA キー サイズが 3072 ビットである必要がある Microsoft Hardware Lab Kit に送信するユーザーに対する制限です。
Thales SafeNet (Gemalto) トークン
メリット
- 強力なセキュリティ機能: Thales SafeNet トークンは、改ざん防止ハードウェアなどの高度なセキュリティ機能を備えているため、厳格なセキュリティ対策を必要とする環境に適しています。
- 柔軟なソリューション: Thales SafeNet は、さまざまなユーザーの好みやニーズに応える、USB トークンやスマート カードなどのさまざまなトークンを提供します。
- 強力なエンタープライズ重視: Thales SafeNet トークンはエンタープライズ環境を念頭に設計されており、大規模な導入と管理を容易にする広範な管理ツールを提供します。
- カーネル モード署名: Thales SafeNet トークンは、カーネル モード署名に必要な 3072 ビットの RSA キーを処理できます。これは将来的には可能になるかもしれませんが、現在 Microsoft は Gemalto トークンを使用した RSA でのドライバー モード署名のみを許可しています。Microsoft は現在、ECC での署名を許可していません。
デメリット
- 複雑さ: 追加のセキュリティ機能と管理機能により、学習曲線が急になり、展開プロセスが複雑になる可能性があります。
- コスト: YubiKey と同様に、高度な機能と強力なセキュリティ対策には高いコストがかかるため、すべてのユーザーにとって理想的ではない可能性があります。
- リモート認証の非サポート: リモート認証機能を必要とするユーザーは、この機能を特に提供する他の製品を検討する必要があるかもしれません。
- 物理デバイスのリスク: 他の物理トークンと同様に、紛失や損傷のリスクが常に存在し、アクセスの問題やセキュリティ侵害につながる可能性があります。
- ソフトウェアの依存性: 一部の機能では特定のソフトウェアまたは管理ソリューションが必要になる場合があり、依存関係や潜在的な互換性の問題が発生する可能性があります。
- バッテリー依存モデル: 一部の高度なトークンにはバッテリーが必要な場合があり、メンテナンスの要素が追加されます。
製品概要
SSL.comは、Yubikey FIPSトークンにプリインストールされたコード署名証明書を出荷しており、 タレスセーフネット 〜へどちらもデジタル証明書と認証プロセスに堅牢なセキュリティを提供します。この 2 つの選択は、予算の制約、必要なセキュリティ レベル、プラットフォームの互換性、ユーザーの利便性などの特定のニーズによって決まります。YubiKey は、複数のプラットフォームでシンプルで多用途で使いやすいソリューションを求めるユーザーに適している可能性がありますが、Thales SafeNet トークンは、高度に安全でカスタマイズ可能でエンタープライズに重点を置いたソリューションを必要とする組織に適しています。
Yubikey と Thales SafeNet トークンはどちらも物理デバイスであるため、紛失や盗難のリスクがあり、重大なセキュリティ上の脆弱性が生じ、高額な交換が必要になる可能性があります。現代のリモート ワークの状況では、これらのハードウェア トークンの配布と保守の管理は、IT チームにとって大きな物流上の障害となり、かなりの費用と人手がかかります。ただし、特に開発者間のコラボレーションに関しては、クラウドベースのソリューションほどの利便性はありません。
最終的には、どちらのオプションもユーザー エクスペリエンスを大幅に妨げることなくセキュリティを強化することを目的としており、その決定は組織のセキュリティ戦略と運用要件に合わせて行う必要があります。
eSigner: トークンの代替としてのクラウド署名
サービスとしてのデジタル署名は、コードとドキュメントの両方の署名を容易にするSSL.comのeSignerクラウド署名サービスに代表される、デジタル署名を管理するための最新かつ効率的な方法です。eSignerは、公開鍵インフラストラクチャ(PKI) とハードウェア セキュリティ モジュール (HSM) により、安全な署名が可能になります。このサービスでは、エクスポート不可能な署名キーを HSM 内に安全に保存し、顧客と SSL.com の両方からアクセスできないようにすることで、クライアントに手間をかけずに、物理トークンで提供されるのと同等のセキュリティ レベルを確保します。
セキュリティを強化するために、eSignerには OAuthTOTP は堅牢な 10 要素認証を提供し、世界中のどこからでもインターネットにアクセスできるあらゆるデバイスからコードやドキュメントに署名できるようにします。また、EV コード署名もサポートしているため、開発者は Windows XNUMX カーネル モード ドライバーに署名できます。
さらに、eSigner は SSL.com ダッシュボードを通じてチーム メンバー間で署名証明書を共有するプロセスを簡素化します。これにより、チーム メンバーは各個人に固有の PIN が割り当てられ、証明書に簡単にアクセスできます。この機能は、さまざまな場所に分散しているチーム間でシームレスかつ安全なコラボレーションをサポートし、操作の速度や効率を犠牲にすることなく、高いセキュリティ基準を保証します。
ご注意SSLコード署名証明書の秘密鍵はエクスポートできません。また、証明書をダウンロード可能な.pfxファイルとして発行することもできません。証明書は、FIPS 140-2認証済みのYubiKey USBトークン、SSLのeSignerクラウド署名サービス、またはサポートされているクラウドHSMなど、承認された安全な方法を使用して生成および保存する必要があります。
eSignerの詳細については、 専用サービスページ.
