Het uitgeven van digitale certificaten voor Extended Validation Code Signing of Adobe-documenten ondertekenen vereist de gactivering van een sleutel met bepaalde beveiligingseigenschappen. Bij het genereren moet de sleutel worden gemarkeerd als "gevoelig" (wat betekent dat de sleutel niet in leesbare tekst kan worden weergegeven) en, belangrijker nog, niet-exporteerbaar (kan niet worden onthuld, zelfs niet wanneer deze is versleuteld) vanaf de HSM. Er zijn verschillende paden die gevolgd moeten worden voor deze procedure, zoals het verkrijgen van een veilige token van SSL.com met vooraf geïnstalleerde certificaten. Dit artikel richt zich op het geval waarin klanten ervoor kiezen om hun eigen fysieke HSM- of cloud HSM-account te gebruiken en een gekwalificeerde professional van hun keuze in dienst te nemen om de juiste uitvoering van dit proces te bevestigen.
Wat is attestatie?
Voordat SSL.com kan ondertekenen en uitgeven EV Code-ondertekening of Adobe-Trusted Document Signing-certificaten, moeten we eerst bewijs verkrijgen dat de persoonlijke ondertekeningssleutel van de klant is gegenereerd door en veilig is opgeslagen in een FIPS 140-2 Level 2 (of hoger) gecertificeerd apparaat, van waaruit deze niet kan worden geëxporteerd. De handeling om te bewijzen dat een privésleutel aan deze vereisten voldoet, staat bekend als: getuigenis. De exacte procedures voor het bevestigen van een privésleutel variëren tussen apparaten en cloud computing-platforms.
Sommige diensten, zoals Google Cloud-HSM, bieden attest op afstand door een uniek certificaat uit te geven voor elke gebruikte HSM, wat in combinatie met het unieke certificaat dat is uitgegeven door de fabrikant van de HSM voldoende is om zekerheid te bieden dat de gegenereerde sleutel over de vereiste kenmerken beschikt en PKCS #11-compatibel is. Een dergelijk attest wordt beschouwd als voldoende bewijs voor SSL.com om de geschiktheid van de sleutel te garanderen.
Er zijn echter services, met name AWS, die geen attest van externe sleutels bieden. In dit geval wordt de attestering gedaan door een handmatige procedure die Key Generation Ceremony (KGC) wordt genoemd. De KGC vereist validatie van een auditor die zeer bekwaam is in het veld. De klant kan een in-house expert van SSL.com inschakelen, maar kan er ook voor kiezen om een onafhankelijke professional naar keuze in te schakelen. Dit wordt de Bring Your Own Auditor (BYOA) genoemd. Om ervoor te zorgen dat het proces voldoende validatie biedt, moeten de volgende velden worden gecontroleerd:
- De geschiktheid van de gekozen professional (auditor) die een behoorlijke KGC . zal verstrekken
- Het voorbereidings- en uitvoeringsproces van de KGC
- De minimale vereisten die door de auditor moeten worden gecontroleerd en gerapporteerd
KGC-proces: voorbereiding en richtlijnen
BYOA is een geldig alternatief voor klanten, maar het vereist een grondige voorbereiding, anders bestaat er een aanzienlijk risico op afwijzing van de gegenereerde sleutel. Dit kan gebeuren als het gebruikte hulpmiddel niet conform is, of de auditor niet gekwalificeerd is, of de controleverklaring de vereisten van het proces niet dekt. In een dergelijk geval moeten de ceremonie en het bijwonen ervan worden herhaald, wat resulteert in extra kosten en vertragingen voor de klant.
Om dergelijke scenario's te voorkomen, communiceren de klantenondersteuning en/of validatiespecialisten van SSL.com met de klant voor de KGC om begeleiding te bieden en het volgende te garanderen:
- De auditor is goedgekeurd volgens de hieronder beschreven criteria
- De vereisten voor ceremonievoorbereidingen en het ceremoniescript zijn duidelijk en worden grondig gevolgd, zodat de KGC-omgeving goed is voorbereid
- Eventuele beperkingen en/of BYOA-specifieke voorwaarden zijn duidelijk en geaccepteerd door de klant
Geschiktheid van KGC-auditor
Klanten die EV Code Signing- of Adobe-Trusted Document Signing-certificaten aanvragen, kunnen het Certificate Signing Request (CSR) en een bevestiging van een onafhankelijke professional (BYOA) dat het sleutelpaar is gegenereerd en opgeslagen in een goedgekeurde HSM, onder een goedgekeurde besturingsomgeving en in overeenstemming met alle PKCS #11-kenmerken.
SSL.com heeft een reeks criteria opgesteld om de competentie en ethiek van de professional die de klant kiest te waarborgen. Deze criteria, die ook worden gebruikt om de aangesloten auditors van SSL.com te evalueren en goed te keuren, zijn van kracht om de veiligheid en conformiteit van het ondertekeningsproduct te waarborgen (EV Code Signing of Adobe-Trusted Document Signing-certificaat).
De criteria die in aanmerking worden genomen voor de aanvaarding of afwijzing van certificering door een auditor zijn:
- Technische competentie: De auditor dient gekwalificeerd te zijn op het gebied van digitale certificering en cybersecurity
- Auditende competentie: De auditor moet de kwalificatie van zijn auditcapaciteit bewijzen door middel van een passende persoonlijke certificering of professionele capaciteit (bijv. Webtrust/ETSI auditor, Cloud Security Alliance CCAK).
- Ethiek: Een controle of er een bindende Ethische Code is, bijvoorbeeld als onderdeel van de certificering van de auditor.
- De mogelijkheid om de bovenstaande auditorinformatie te verifiëren: Een controle aan de hand van een openbare bron (bijv. accountantsregister) om de certificering te verifiëren.
Deze criteria worden gecontroleerd door SSL.com-validatiespecialisten voordat ze worden geaccepteerd. SSL.com houdt een lijst bij met door BYOA goedgekeurde certificeringen voor de bovenstaande criteria, samen met een lijst van aangesloten auditors voor het gemak van de klant.
Deze informatie wordt tijdens de voorbereidingsfase aan de klant bekend gemaakt. Neem voor meer informatie contact op met support@ssl.com.
KGC-attestvereisten
De voorbereidingsfase is cruciaal om ongelukken tijdens de ceremonie te voorkomen die kunnen leiden tot extra kosten en vertragingen. De klantenservice in SSL.com zorgt ervoor dat alle auditvereisten worden gecommuniceerd aan zowel de klant als de gekwalificeerde auditor voordat een ceremoniescript wordt geselecteerd. Om verder te helpen, heeft SSL.com materiaal voorbereid ter ondersteuning van AWS Cloud HSM, zoals voorbereidingsvereisten voor ceremonies en een ceremoniescript, die beschikbaar zijn door contact op te nemen met support@ssl.com tijdens de voorbereidingsfase.
De klant kan ervoor kiezen om zijn eigen script te maken via de Qualified Auditor (QA), maar in dit geval raden we ten zeerste aan dat het Ceremoniescript vóór gebruik wordt beoordeeld en goedgekeurd door onze eigen technici.
In ieder geval moet de Gekwalificeerde Auditor het volgende persoonlijk verifiëren en bevestigen met betrekking tot de Ceremonie voor het genereren van de Private Sleutel:
- Private Key Material is gemaakt in een HSM die voldoet aan ten minste FIPS 140-2 Level 2 en werkt in ten minste FIPS 140-2 Level 2-modus.
- De HSM en firmware die tijdens de ceremonie werden gebruikt, waren echt en de firmwareversie is niet geassocieerd met bekende kwetsbaarheden
- De software die voor de ceremonie werd gebruikt, was officiële HSM-software die door de fabrikant werd geleverd en de integriteit ervan werd geverifieerd door de QA
- Alle communicatie met de HSM tijdens het genereren van de sleutel is versleuteld en wederzijds geverifieerd via cryptografische middelen
- Privésleutelmateriaal is gemaakt in de HSM en is niet geïmporteerd
- Privésleutelmateriaal is niet gemarkeerd als extraheerbaar (PKCS #11-kenmerk "CKA_EXTRACTABLE/CKA_EXPORTABLE") en dat is het ook nooit geweest.
- Privésleutelmateriaal is gemarkeerd als gevoelig (PKCS #11-attribuut "CKA_SENSITIVE") en dat was het altijd.
- Toegang tot het gegenereerde sleutelmateriaal vereist gebruikersauthenticatie
- De QA was aanwezig, heeft alle ceremonieprocessen gevolgd en er was geen vermoeden of bewijs van kwaad opzet.
Naast de bovenstaande vereisten bevestigt de QA dat de besturingsomgeving van de Abonnee een beveiligingsniveau bereikt dat ten minste gelijkwaardig is aan dat van FIPS 140-2 Level 2.
Conclusie
BYOA is een geldig en nuttig alternatief voor gevallen waarin attestatie op afstand niet beschikbaar is voor Extended Validation Code Signing en Adobe Approved Trust List-certificaten. SSL.com zorgt ervoor dat klanten grondig worden voorbereid op de procedure en dat ze topondersteuning krijgen als ze van deze optie gebruikmaken.