Extended ValidationCode署名用のデジタル証明書の発行または アドビドキュメント署名 gが必要ですキーのエネレーション 特定のセキュリティプロパティを使用します。 生成されるとき、キーは「機密」(キーをプレーンテキストで表示できないことを意味します)としてフラグを立てる必要があり、さらに重要なことに、HSMからエクスポートできない(暗号化しても公開できない)必要があります。 証明書がプリインストールされたSSL.comから安全なトークンを取得するなど、この手順を実行するためのパスがいくつかあります。 この記事では、クライアントが独自の物理HSMまたはクラウドHSMアカウントを使用し、選択した資格のある専門家を雇用して、このプロセスの適切な実行を証明する場合に焦点を当てます。
アテステーションとは何ですか?
SSL.comが署名して発行する前に EVコード署名 またはAdobe-TrustedDocument Signing証明書の場合、最初に、お客様の秘密署名キーがFIPS 140-2レベル2(またはそれ以上)認定デバイスによって生成され、安全に保管されていることの証明を取得する必要があります。このデバイスからはエクスポートできません。 秘密鍵がこれらの要件を満たしていることを証明する行為は、 証明。 秘密鍵の証明の正確な手順は、デバイスとクラウドコンピューティングプラットフォームによって異なります。
のようないくつかのサービス Google クラウド HSM、使用するすべてのHSMに一意の証明書を発行することにより、リモート認証を提供します。これをHSMの製造元が発行する一意の証明書と組み合わせると、生成されたキーが必要な属性を持ち、PKCS#11に準拠していることを確認できます。 このような証明は、SSL.comがキーの適格性を保証するための十分な証拠と見なされます。
ただし、リモートキー認証を提供しないサービス、特にAWSがあります。 この場合、認証は、キー生成セレモニー(KGC)と呼ばれる手動の手順によって行われます。 KGCには、この分野で高度なスキルを持つ監査人による検証が必要です。 クライアントはSSL.comの社内専門家を利用できますが、選択した独立した専門家を使用することもできます。 これは、Bring Your Own Auditor(BYOA)と呼ばれます。 プロセスが適切な検証を提供することを保証するために、以下のフィールドを制御する必要があります。
- 適切なKGCを提供する選択された専門家(監査人)の資格
- KGCの準備と実行のプロセス
- 監査人がチェックして報告する必要のある最小要件
KGCプロセス:準備とガイドライン
BYOAはクライアントにとって有効な代替手段ですが、徹底的な準備が必要です。そうしないと、生成されたキーが拒否されるリスクが高くなります。 これは、使用されているデバイスが準拠していない場合、監査人が資格を持っていない場合、または監査人のレポートがプロセスの要件をカバーしていない場合に発生する可能性があります。 そのような場合、式典とその証言を繰り返す必要があり、その結果、クライアントに追加の費用と遅延が生じます。
このようなシナリオを回避するために、SSL.comのカスタマーサポートおよび/または検証スペシャリストは、KGCの前に顧客と連絡を取り、ガイダンスを提供し、次のことを確認します。
- 監査人は、以下の基準に従って承認されます
- セレモニーの準備要件とセレモニーの台本は明確であり、徹底的に守られているため、KGC環境は十分に準備されています。
- 制限および/またはBYOA固有の契約条件は明確であり、お客様に受け入れられます
KGC監査人の資格
EVコード署名またはアドビが信頼するドキュメント署名証明書を要求するお客様は、証明書署名要求を提示できます(CSR)および独立した専門家(BYOA)からの確認により、キーペアが生成され、承認されたHSMに、承認された操作環境で、すべてのPKCS#11属性に準拠して保存されました。
SSL.comは、クライアントが選択する専門家の能力と倫理を確保するための一連の基準を設定しています。 これらの基準は、SSL.comの関連監査人の評価と承認にも使用され、署名製品(EVコード署名またはAdobe-Trusted Document Signing証明書)のセキュリティと適合性を確保するために設定されています。
審査員からの認証の受諾または拒否について考慮される基準は次のとおりです。
- 技術的能力: 監査人は、デジタル認証とサイバーセキュリティの分野で資格を持っている必要があります
- 監査能力: 監査人は、適切な個人認定または専門的能力(Webtrust / ETSI監査人、クラウドセキュリティアライアンスCCAKなど)を通じて、監査能力の資格を証明する必要があります。
- 倫理: たとえば、監査人の認証の一部として、拘束力のある倫理規定が実施されていることを確認します。
- 上記の監査人情報を検証する機能: 認証を検証するための公開ソース(監査人レジストリなど)に対するチェック。
これらの基準は、承認される前にSSL.com検証スペシャリストによってチェックされます。 SSL.comは、クライアントの便宜のために、上記の基準についてBYOAが承認した認証のリストと、関連する監査人のリストを保持しています。
この情報は、準備段階でお客様に開示されます。 詳しくはお問い合わせください support@ssl.com.
KGC認証要件
準備段階は、追加の費用と遅延につながる可能性のある式典での事故を避けるために重要です。 SSL.comのカスタマーケアは、セレモニースクリプトが選択される前に、すべての監査要件が顧客と資格のある監査人の両方に伝達されることを保証します。 さらに支援するために、SSL.comは、AWS Cloud HSMをサポートするための資料を準備しました。たとえば、セレモニーの準備要件やセレモニースクリプトなど、連絡先から入手できます。 support@ssl.com 準備段階で。
クライアントは、Qualified Auditor(QA)を介して独自のスクリプトを作成することを選択できますが、この場合、セレモニースクリプトを使用する前に、独自のエンジニアがレビューして承認することを強くお勧めします。
いずれの場合も、資格のある監査人は、秘密鍵生成セレモニーに関して、以下を個人的に確認および証明する必要があります。
- 秘密鍵マテリアルは、少なくともFIPS 140-2レベル2に準拠したHSMで作成され、少なくともFIPS140-2レベル2モードで動作しています。
- セレモニーで使用されたHSMとファームウェアは本物であり、ファームウェアバージョンは既知の脆弱性に関連付けられていません
- 式典に使用されたソフトウェアは、メーカーから提供された公式のHSMソフトウェアであり、その整合性はQAによって検証されました。
- キー生成プロセス中のHSMとのすべての通信は暗号化され、暗号化手段を介して相互に認証されました
- 秘密鍵マテリアルはHSM内で作成され、インポートされませんでした
- 秘密鍵マテリアルは抽出可能としてマークされておらず(PKCS#11属性「CKA_EXTRACTABLE / CKA_EXPORTABLE」)、抽出可能としてマークされていません。
- 秘密鍵マテリアルは機密としてマークされ(PKCS#11属性「CKA_SENSITIVE」)、常にそうでした。
- 生成されたキーマテリアルにアクセスするには、ユーザー認証が必要です
- QAが存在し、すべての式典プロセスを実行し、不正行為の疑いや証拠はありませんでした。
上記の要件に加えて、QAは、加入者の動作環境が少なくともFIPS140-2レベル2と同等のセキュリティレベルを達成していることを証明します。
まとめ
BYOAは、Extended Validation CodeSigningおよびAdobeApproved TrustList証明書でリモート認証を利用できない場合の有効で便利な代替手段です。 SSL.comは、お客様がこのオプションを利用する場合に備えて、手順に完全に備え、トップレベルのサポートを提供することを保証します。
