Melhores práticas para habilitar assinaturas LTV para assinatura de documentos usando HSMs autogerenciados

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

SSL.com fornece serviços de assinatura remota em nuvem prontos para uso por meio de nossa API de operações de assinatura eSigner, que inclui o armazenamento e gerenciamento de chaves privadas.

No entanto, muitos usuários preferem utilizar seu próprio HSM ou serviço HSM em nuvem para armazenar chaves privadas usadas para assinar documentos. 

As assinaturas LTV permitem a verificação sem depender de sistemas ou repositórios externos. Todas as informações de validação necessárias estão incluídas no próprio documento, tornando-o independente. Isto é particularmente importante para a verificação a longo prazo, uma vez que sistemas ou repositórios externos podem ficar indisponíveis ou mudar ao longo do tempo.

Com assinaturas LTV, o processo de verificação permanece independente e autossuficiente.

Abaixo está uma lista de práticas recomendadas que os usuários podem consultar para habilitar assinaturas LTV para assinatura de documentos ao usar seu próprio HSM ou serviço HSM em nuvem.

  1. Prepare o documento: certifique-se de que o documento que você deseja assinar esteja em um formato adequado, como PDF/A ou um documento PDF simples. O PDF/A foi projetado especificamente para arquivamento de longo prazo e garante que a integridade do documento seja mantida ao longo do tempo.

  2. Use carimbos de data/hora criptográficos: As assinaturas LTV exigem uma fonte de tempo confiável e confiável. Os carimbos de data/hora criptográficos fornecem isso vinculando com segurança a assinatura a um horário específico, evitando qualquer data retroativa ou adulteração. Use uma autoridade de carimbo de data/hora confiável, como SSL.com, ou um serviço de carimbo de data/hora interno em sua organização.
    O servidor de carimbo de data/hora do SSL.com está em http://ts.ssl.com/. Por padrão, SSL.com oferece suporte a carimbos de data/hora de chaves ECDSA.

    Se você encontrar este erro: O certificado de carimbo de data/hora não atende a um requisito mínimo de comprimento de chave pública, pode ser que seu fornecedor de HSM não permita carimbos de data/hora de chaves ECDSA, a menos que uma solicitação seja feita.

    Se não houver como seu fornecedor de HSM permitir o uso do endpoint normal, você poderá usar esse endpoint legado http://ts.ssl.com/legacy para obter um registro de data e hora de uma unidade de registro de data e hora RSA.

  3. Preservar informações de revogação de certificado: para manter a validade das assinaturas ao longo do tempo, é crucial preservar as informações de revogação do certificado. Isso inclui as listas de revogação de certificados (CRLs) ou as respostas do protocolo de status de certificado online (OCSP) usadas para verificar o certificado do signatário. 

    Para usuários da linguagem Java, você pode consultar o Biblioteca PDFBox Java que contém exemplos para criar assinaturas LTV. Também inclui exemplos de carimbo de data/hora de assinatura. 

    Aqui está um exemplo de código sobre como incorporar informações de revogação (CRLs) da cadeia de certificados de assinatura de documentos dentro do documento PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup

  4. Arquivar documentos assinados: Mantenha um arquivo seguro e organizado de todos os documentos assinados, incluindo quaisquer versões intermediárias. Isso garante que os documentos assinados e as informações de validação associadas, como carimbos de data/hora e dados de revogação, estejam prontamente disponíveis para verificação de longo prazo. Implemente mecanismos de armazenamento adequados para evitar acesso não autorizado, adulteração ou perda de dados.

  5. Verifique a assinatura: Implemente um processo de verificação para garantir que a assinatura possa ser validada corretamente. Isso envolve o uso da chave pública associada ao certificado de assinatura para verificar a integridade da assinatura, verificar a validade do carimbo de data e hora e verificar o status de revogação do certificado.

  6. Configure corretamente os HSMs: Certifique-se de que os HSMs sejam configurados e mantidos adequadamente e sigam os padrões do setor e as práticas recomendadas para gerenciamento de chaves, como rotação de chaves, controles de acesso robustos e auditorias regulares.

  7. Monitore e atualize os controles de segurança: monitore regularmente os controles e configurações de segurança da sua infraestrutura de assinatura, incluindo HSMs, serviços de carimbo de data/hora e sistemas de armazenamento. Mantenha-se atualizado com patches de segurança, atualizações de firmware e práticas recomendadas do setor para HSM e tecnologias de assinatura de documentos.

Para soluções de assinatura de documentos HSM autogerenciadas, entre em contato vendas@ssl.com.

Formulário de solicitação de serviço Cloud HSM

Se você deseja solicitar certificados digitais para instalação em uma plataforma HSM de nuvem compatível (AWS CloudHSM ou Azure Dedicated HSM), preencha e envie o formulário abaixo. Após recebermos sua solicitação, um membro da equipe do SSL.com entrará em contato com você com mais detalhes sobre o processo de pedido e atestado.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.