Wydawanie certyfikatów cyfrowych do podpisywania kodu rozszerzonej walidacji lub Podpisywanie dokumentów Adobe wymaga ggenerowanie klucza z pewnymi właściwościami bezpieczeństwa. Po wygenerowaniu klucz musi być oznaczony jako „wrażliwy” (co oznacza, że nie można go wyświetlić w postaci zwykłego tekstu) i, co ważniejsze, nie można go eksportować (nie można go ujawnić nawet po zaszyfrowaniu) z modułu HSM. Istnieje kilka ścieżek, które należy wykonać w tej procedurze, na przykład uzyskanie bezpiecznego tokena z SSL.com z preinstalowanymi certyfikatami. Ten artykuł koncentruje się na przypadku, w którym klienci decydują się na korzystanie z własnego fizycznego konta HSM lub konta HSM w chmurze i zatrudniają wykwalifikowanego specjalistę według własnego wyboru, aby poświadczyć prawidłowe wykonanie tego procesu.
Co to jest zaświadczenie?
Zanim SSL.com będzie mógł podpisać i wystawić Podpisywanie kodu EV lub certyfikatów Adobe-Trusted Document Signing, musimy najpierw uzyskać dowód, że prywatny klucz podpisywania klienta został wygenerowany i jest bezpiecznie przechowywany na urządzeniu z certyfikatem FIPS 140-2 Level 2 (lub wyższym), z którego nie można go wyeksportować. Czynność wykazania, że klucz prywatny spełnia te wymagania, jest znana jako zaświadczenie. Dokładne procedury poświadczania klucza prywatnego różnią się w zależności od urządzenia i platformy przetwarzania w chmurze.
Niektóre usługi, takie jak HSM w chmurze Google, zapewniają zdalne poświadczenie, wydając unikalny certyfikat dla każdego używanego HSM, co w połączeniu z unikalnym certyfikatem wystawionym przez producenta HSM daje pewność, że wygenerowany klucz posiada wymagane atrybuty i jest zgodny z PKCS #11. Takie poświadczenie jest uważane za wystarczający dowód dla SSL.com, aby zapewnić kwalifikowalność klucza.
Istnieją jednak usługi, w szczególności AWS, które nie zapewniają zdalnego poświadczania kluczy. W tym przypadku atestacja odbywa się ręczną procedurą nazywaną ceremonią generowania klucza (KGC). KGC wymaga walidacji od audytora, który jest wysoko wykwalifikowany w tej dziedzinie. Klient może skorzystać z wewnętrznego eksperta z SSL.com, ale może również zdecydować się na skorzystanie z wybranego przez siebie niezależnego profesjonalisty. Jest to określane jako Bring Your Own Auditor (BYOA). Aby zapewnić, że proces zapewnia odpowiednią walidację, należy kontrolować następujące pola:
- Kwalifikowalność wybranego profesjonalisty (audytora), który zapewni odpowiednią KGC
- Proces przygotowania i realizacji KGC
- Minimalne wymagania, które powinny być sprawdzone i zgłoszone przez audytora
Proces KGC: Przygotowanie i wytyczne
BYOA jest dobrą alternatywą dla klientów, wymaga jednak starannego przygotowania, w przeciwnym razie istnieje duże ryzyko odrzucenia wygenerowanego klucza. Może się tak zdarzyć, jeśli używane urządzenie nie jest zgodne lub audytor nie posiada odpowiednich kwalifikacji lub raport audytora nie obejmuje wymagań procesu. W takim przypadku ceremonia i jej świadek muszą zostać powtórzone, co skutkuje dodatkowymi kosztami i opóźnieniami dla klienta.
Aby uniknąć takich scenariuszy, specjaliści ds. obsługi klienta i/lub walidacji SSL.com komunikują się z klientem przed KGC, aby udzielić wskazówek i zapewnić, że:
- Audytor jest zatwierdzany zgodnie z kryteriami opisanymi poniżej
- Wymagania dotyczące przygotowania ceremonii oraz scenariusz ceremonii są jasne i dokładnie przestrzegane, tak aby środowisko KGC było dobrze przygotowane
- Wszelkie ograniczenia i/lub warunki specyficzne dla BYOA są jasne i akceptowane przez klienta
Kwalifikowalność audytora KGC
Klienci żądający certyfikatów EV Code Signing lub Adobe-Trusted Document Signing mogą przedstawić żądanie podpisania certyfikatu (CSR) oraz potwierdzenie od niezależnego specjalisty (BYOA), że para kluczy została wygenerowana i przechowywana w zatwierdzonym HSM, w zatwierdzonym środowisku operacyjnym i zgodnie ze wszystkimi atrybutami PKCS #11.
SSL.com ustanowił szereg kryteriów, aby zapewnić kompetencje i etykę profesjonalisty, którego wybiera klient. Kryteria te, które są również wykorzystywane do oceny i zatwierdzania audytorów stowarzyszonych SSL.com, są stosowane w celu zapewnienia bezpieczeństwa i zgodności produktu podpisującego (certyfikat EV Code Signing lub Adobe-Trusted Document Signing).
Kryteria, które są brane pod uwagę przy akceptacji lub odrzuceniu certyfikacji przez audytora to:
- Kompetencje techniczne: Audytor musi posiadać kwalifikacje w zakresie certyfikacji cyfrowej i cyberbezpieczeństwa
- Kompetencja audytorska: Audytor musi udowodnić kwalifikacje swoich zdolności audytorskich poprzez odpowiednią certyfikację osobistą lub zdolność zawodową (np. audytor Webtrust/ETSI, Cloud Security Alliance CCAK).
- Etyka: Sprawdzenie, czy istnieje obowiązujący Kodeks Etyki, np. w ramach certyfikacji audytora.
- Możliwość weryfikacji powyższych informacji audytora: Sprawdzenie ze źródła publicznego (np. rejestru audytorów) w celu weryfikacji certyfikacji.
Kryteria te są sprawdzane przez specjalistów ds. walidacji SSL.com przed ich akceptacją. SSL.com prowadzi listę certyfikatów zatwierdzonych przez BYOA dla powyższych kryteriów, wraz z listą audytorów stowarzyszonych dla wygody klientów.
Informacje te są ujawniane klientowi w fazie przygotowania. Aby uzyskać więcej informacji prosimy o kontakt support@ssl.com.
Wymagania atestacyjne KGC
Faza przygotowań ma kluczowe znaczenie dla uniknięcia wpadek podczas ceremonii, które mogą prowadzić do dodatkowych kosztów i opóźnień. Obsługa klienta w SSL.com zapewnia, że wszystkie wymagania dotyczące audytu są przekazywane zarówno klientowi, jak i wykwalifikowanemu audytorowi przed wyborem skryptu ceremonii. Aby jeszcze bardziej pomóc, SSL.com przygotował materiały wspierające AWS Cloud HSM, takie jak wymagania dotyczące przygotowania ceremonii i skrypt ceremonii, które są dostępne po skontaktowaniu się support@ssl.com w fazie przygotowawczej.
Klient może zdecydować się na stworzenie własnego skryptu za pośrednictwem Wykwalifikowanego Audytora (QA), ale w tym przypadku zdecydowanie zalecamy sprawdzenie i zatwierdzenie skryptu ceremonii przez naszych inżynierów przed użyciem.
W każdym przypadku Kwalifikowany Audytor musi osobiście zweryfikować i poświadczyć, co następuje, w odniesieniu do Ceremonii Generowania Klucza Prywatnego:
- Materiał klucza prywatnego został utworzony w HSM zgodnym z co najmniej FIPS 140-2 Level 2 i działa w trybie co najmniej FIPS 140-2 Level 2.
- HSM i oprogramowanie sprzętowe użyte podczas ceremonii były oryginalne, a wersja oprogramowania nie jest powiązana z żadnymi znanymi lukami
- Oprogramowanie użyte do ceremonii było oficjalnym oprogramowaniem HSM dostarczonym przez producenta, a jego integralność została zweryfikowana przez QA
- Cała komunikacja z HSM podczas procesu generowania klucza była szyfrowana i wzajemnie uwierzytelniana za pomocą środków kryptograficznych
- Materiał klucza prywatnego został utworzony w HSM i nie został zaimportowany
- Materiał klucza prywatnego nie jest oznaczony jako możliwy do wyodrębnienia (atrybut PKCS #11 „CKA_EXTRACTABLE/CKA_EXPORTABLE”) i nigdy nie był.
- Materiał klucza prywatnego jest oznaczony jako wrażliwy (atrybut PKCS #11 „CKA_SENSITIVE”) i zawsze tak było.
- Dostęp do wygenerowanego materiału klucza wymaga uwierzytelnienia użytkownika
- Kontrola jakości była obecna, śledziła wszystkie procesy ceremonii i nie było żadnych podejrzeń ani dowodów nieczystej gry.
Oprócz powyższych wymagań, kontrola jakości potwierdza, że środowisko operacyjne Abonenta osiąga poziom bezpieczeństwa co najmniej równoważny z FIPS 140-2 Poziom 2.
Wnioski
BYOA to ważna i użyteczna alternatywa w przypadkach, w których zdalna atestacja nie jest dostępna dla certyfikatów Extended Validation Code Signing i Adobe Approved Trust List. SSL.com zapewnia, że klienci są dokładnie przygotowani do procedury i otrzymują wsparcie na najwyższym poziomie w przypadku skorzystania z tej opcji.