Emissão de certificados digitais para assinatura de código de validação estendida ou Assinatura de documentos Adobe requer o generação de uma chave com certas propriedades de segurança. Quando gerada, a chave deve ser sinalizada como “sensível” (o que significa que a chave não pode ser mostrada em texto simples) e, mais importante, não exportável (não pode ser revelada mesmo quando criptografada) do HSM. Existem vários caminhos a seguir para este procedimento, como obter um token seguro de SSL.com com certificados pré-instalados. Este artigo se concentra no caso em que os clientes optam por usar sua própria conta HSM física ou HSM na nuvem e empregam um profissional qualificado de sua escolha para atestar a execução adequada desse processo.
O que é atestado?
Antes que SSL.com possa assinar e emitir Assinatura do código EV ou certificados de assinatura de documentos confiáveis da Adobe, devemos primeiro obter prova de que a chave de assinatura privada do cliente foi gerada e está armazenada com segurança em um dispositivo certificado FIPS 140-2 Nível 2 (ou superior), do qual não pode ser exportado. O ato de provar que uma chave privada atende a esses requisitos é conhecido como atestado. Os procedimentos exatos para atestado de chave privada variam entre dispositivos e plataformas de computação em nuvem.
Alguns serviços, como HSM do Google Cloud, fornecer atestado remoto emitindo um certificado exclusivo para cada HSM usado, que quando combinado com o certificado exclusivo emitido pelo fabricante do HSM é suficiente para fornecer certeza de que a chave gerada possui os atributos necessários e é compatível com PKCS # 11. Tal atestado é considerado evidência suficiente para SSL.com para garantir a elegibilidade da chave.
No entanto, existem serviços, mais notavelmente AWS, que não fornecem atestado de chave remota. Neste caso, o atestado é feito por um procedimento manual denominado Cerimônia de Geração de Chaves (KGC). O KGC requer validação de um auditor altamente qualificado na área. O cliente pode utilizar um especialista interno da SSL.com, mas também pode optar por usar um profissional independente de sua escolha. Isso é conhecido como Traga seu próprio auditor (BYOA). Para garantir que o processo forneça validação adequada, os seguintes campos precisam ser controlados:
- A elegibilidade do profissional escolhido (auditor), que deve fornecer um KGC adequado
- O processo de preparação e execução do KGC
- Os requisitos mínimos que devem ser verificados e relatados pelo auditor
Processo KGC: Preparação e diretrizes
BYOA é uma alternativa válida para clientes, mas requer uma preparação completa, caso contrário, há um risco significativo de rejeição para a chave gerada. Isso pode acontecer se o dispositivo usado não for compatível, ou o auditor não for qualificado, ou se o relatório do auditor não cobrir os requisitos do processo. Nesse caso, a cerimônia e seu testemunho devem ser repetidos, resultando em custos adicionais e atrasos para o cliente.
Para evitar tais cenários, o suporte ao cliente SSL.com e / ou especialistas em validação se comunicam com o cliente antes do KGC para fornecer orientação e garantir o seguinte:
- O auditor é aprovado de acordo com os critérios descritos abaixo
- Os requisitos de preparação da cerimônia, bem como o roteiro da cerimônia são claros e seguidos completamente, para que o ambiente do KGC seja bem preparado
- Quaisquer restrições e / ou termos e condições específicos do BYOA são claros e aceitos pelo cliente
Elegibilidade do auditor KGC
Os clientes que solicitam certificados de assinatura de código EV ou de assinatura de documento confiável da Adobe podem apresentar a solicitação de assinatura de certificado (CSR) e uma confirmação de um profissional independente (BYOA) de que o par de chaves foi gerado e armazenado em um HSM aprovado, em um ambiente operacional aprovado e em conformidade com todos os atributos PKCS # 11.
SSL.com definiu uma série de critérios para garantir a competência e a ética do profissional que o cliente escolher. Esses critérios, que também são usados para avaliar e aprovar os auditores afiliados do SSL.com, existem para garantir a segurança e a conformidade do produto de assinatura (certificado de assinatura de código EV ou certificado de assinatura de documento confiável da Adobe).
Os critérios que são considerados para a aceitação ou rejeição da certificação de um auditor são:
- Competência técnica: O auditor deve ser qualificado na área de certificação digital e cibersegurança
- Competência de auditoria: O auditor precisa comprovar a qualificação de sua capacidade de auditoria por meio de uma certificação pessoal ou capacidade profissional adequada (por exemplo, Webtrust / ETSI auditor, Cloud Security Alliance CCAK).
- Ética: Uma verificação de que existe um Código de Ética vinculativo em vigor, por exemplo, como parte da certificação do auditor.
- A capacidade de verificar as informações do auditor acima: Uma verificação em uma fonte pública (por exemplo, registro de auditores) para verificar a certificação.
Esses critérios são verificados por especialistas em validação de SSL.com antes de serem aceitos. SSL.com mantém uma lista de certificações aprovadas pela BYOA para os critérios acima, junto com uma lista de auditores afiliados para a conveniência dos clientes.
Essas informações são divulgadas ao cliente durante a fase de preparação. Para mais informações por favor entre em contato suporte@ssl.com.
Requisitos de certificação KGC
A fase de preparação é crucial para evitar contratempos na cerimônia que podem acarretar em custos adicionais e atrasos. O atendimento ao cliente em SSL.com garante que todos os requisitos de auditoria sejam comunicados ao cliente e ao auditor qualificado antes que um roteiro de cerimônia seja selecionado. Para ajudar ainda mais, SSL.com preparou material para oferecer suporte ao AWS Cloud HSM, como requisitos de preparação de cerimônia e um script de cerimônia, que estão disponíveis contatando suporte@ssl.com durante a fase de preparação.
O cliente pode optar por criar seu próprio script por meio do Auditor Qualificado (QA), mas, neste caso, recomendamos que o Script da Cerimônia seja revisado e aprovado por nossos próprios engenheiros antes do uso.
Em qualquer caso, o Auditor Qualificado deve verificar pessoalmente e atestar o seguinte, em relação à Cerimônia de Geração de Chave Privada:
- O material de chave privada foi criado em um HSM compatível com pelo menos FIPS 140-2 Nível 2 e está operando em pelo menos o modo FIPS 140-2 Nível 2.
- O HSM e o firmware usados na cerimônia eram genuínos e a versão do firmware não está associada a nenhuma vulnerabilidade conhecida
- O software usado para a cerimônia foi o software HSM oficial fornecido pelo fabricante e sua integridade foi verificada pelo QA
- Todas as comunicações com o HSM durante o processo de geração de chave foram criptografadas e mutuamente autenticadas por meios criptográficos
- O material da chave privada foi criado dentro do HSM e não foi importado
- O material da chave privada não é marcado como extraível (atributo PKCS # 11 “CKA_EXTRACTABLE / CKA_EXPORTABLE”) e nunca foi.
- O material da chave privada é marcado como confidencial (atributo PKCS # 11 “CKA_SENSITIVE”) e sempre foi.
- O acesso ao material da chave gerado requer autenticação do usuário
- O QA esteve presente, acompanhou todos os processos da cerimônia e não houve suspeita ou evidência de crime.
Além dos requisitos acima, o QA atesta que o ambiente operacional do Assinante atinge um nível de segurança pelo menos equivalente ao FIPS 140-2 Nível 2.
Conclusão
BYOA é uma alternativa válida e útil para os casos em que o atestado remoto não está disponível para os certificados Extended Validation Code Signing e Adobe Approved Trust List. SSL.com garante que os clientes estejam totalmente preparados para o procedimento e tenham suporte de nível superior caso utilizem essa opção.