自己管理型 HSM を使用したドキュメント署名の LTV 署名の有効化に関するベスト プラクティス

SSL.com は、秘密鍵の保管と管理を含む eSigner 署名操作 API を通じて、ターンキーのリモート クラウド署名サービスを提供します。

ただし、多くのユーザーは、ドキュメントの署名に使用される秘密キーを保存するために独自の HSM またはクラウド HSM サービスを利用することを好みます。 

LTV 署名を使用すると、外部システムやリポジトリに依存せずに検証できます。 必要な検証情報はすべてドキュメント自体に含まれており、自己完結型になっています。 外部システムやリポジトリは時間の経過とともに利用できなくなったり、変更されたりする可能性があるため、これは長期的な検証の場合に特に重要です。

LTV 署名を使用すると、検証プロセスは独立した自己完結型のままになります。

以下は、ユーザーが独自の HSM またはクラウド HSM サービスを使用するときにドキュメント署名の LTV 署名を有効にするために参照できるベスト プラクティスのリストです。

  1. 書類を準備する: 署名するドキュメントが PDF/A や単純な PDF ドキュメントなどの適切な形式であることを確認してください。 PDF/A は長期アーカイブ用に特別に設計されており、ドキュメントの完全性が長期にわたって維持されることが保証されます。

  2. 暗号化タイムスタンプを使用する: LTV 署名には、信頼できる信頼できる時間源が必要です。 暗号化タイムスタンプは、署名を特定の時刻に安全にリンクすることでこれを実現し、日付の遡りや改ざんを防ぎます。 SSL.com などの信頼できるタイムスタンプ機関、または組織内の内部タイムスタンプ サービスを使用します。
    SSL.com のタイムスタンプ サーバーは次のとおりです。 http://ts.ssl.com/。 デフォルトでは、SSL.com は ECDSA キーからのタイムスタンプをサポートします。

    次のエラーが発生した場合: タイムスタンプ証明書が公開キーの長さの最小要件を満たしていません。要求が行われない限り、HSM ベンダーが ECDSA キーからのタイムスタンプを許可していない可能性があります。

    HSM ベンダーが通常のエンドポイントの使用を許可する方法がない場合は、このレガシー エンドポイントを使用できます。 http://ts.ssl.com/legacy RSA タイムスタンプ ユニットからタイムスタンプを取得します。

  3. 証明書失効情報の保存: 署名の有効性を長期間維持するには、証明書失効情報を保存することが重要です。 これには、署名者の証明書を検証するために使用される証明書失効リスト (CRL) またはオンライン証明書ステータス プロトコル (OCSP) 応答が含まれます。 

    Java 言語ユーザーの場合は、以下を参照してください。 PDFBox Java ライブラリ これには、LTV 署名を作成するための例が含まれています。 署名のタイムスタンプの例も含まれています。 

    PDF ドキュメント内にドキュメント署名証明書チェーンの失効情報 (CRL) を埋め込む方法のコード例を次に示します。 https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup

  4. 署名された文書をアーカイブする: 中間バージョンを含む、すべての署名済み文書の安全かつ整理されたアーカイブを保管します。 これにより、署名された文書と、タイムスタンプや失効データなどの関連する検証情報を長期検証にすぐに利用できるようになります。 適切なストレージメカニズムを実装して、不正なアクセス、改ざん、またはデータの損失を防ぎます。

  5. 署名を検証する: 検証プロセスを実装して、署名が正しく検証できることを確認します。 これには、署名証明書に関連付けられた公開キーを使用して署名の整合性を確認し、タイムスタンプの有効性を確認し、証明書の失効ステータスを確認することが含まれます。

  6. HSM を正しく構成する: HSM が適切に構成および保守され、キーのローテーション、強力なアクセス制御、定期的な監査などのキー管理の業界標準とベスト プラクティスに準拠していることを確認します。

  7. セキュリティ制御の監視と更新: HSM、タイムスタンプ サービス、ストレージ システムなどの署名インフラストラクチャのセキュリティ制御と構成を定期的に監視します。 セキュリティ パッチ、ファームウェアのアップデート、HSM およびドキュメント署名テクノロジに関する業界のベスト プラクティスに関する最新情報を常に入手してください。

セルフマネージド HSM ドキュメント署名ソリューションについては、お問い合わせください。 sales@ssl.com.

SSL.com でサポートされるクラウド HSM のガイドについては、次の記事を参照してください。 ドキュメント署名とEVコード署名でサポートされるCloud HSM.

SSL.com でサポートされるクラウド HSM の詳細については、こちらをご覧ください。

ページのトップへ

Cloud HSMサービスリクエストフォーム

サポートされているクラウド HSM プラットフォーム (AWS CloudHSM または Azure D dedicated HSM) にインストールするデジタル証明書を注文したい場合は、以下のフォームに記入して送信してください。 お客様のリクエストを受信した後、SSL.com のスタッフが注文と認証プロセスの詳細についてご連絡します。

ページのトップへ

SSLサポートチーム

全ての記事

関連ブログ投稿

すべてのブログ投稿を表示
Facebook LinkedIn Twitter Youtube githubの

SSL /とはTLS?

ビデオの再生

SSL.comのニュースレターを購読する

SSL.comからの新しい記事と更新をお見逃しなく

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。

調査する