Выдача цифровых сертификатов для подписи кода расширенной проверки или Подписание документов Adobe требует гвведение ключа с определенными свойствами безопасности. При генерации ключ должен быть помечен как «конфиденциальный» (что означает, что ключ не может быть показан в виде открытого текста) и, что более важно, неэкспортируемый (не может быть обнаружен даже при шифровании) из HSM. Для этой процедуры можно использовать несколько способов, например получение токена безопасности с SSL.com с предварительно установленными сертификатами. В этой статье рассматривается случай, когда клиенты предпочитают использовать свою физическую учетную запись HSM или облачного HSM и нанимают квалифицированного специалиста по своему выбору для подтверждения надлежащего выполнения этого процесса.
Что такое аттестация?
Прежде чем SSL.com сможет подписать и выпустить Подпись кода EV или сертификаты для подписи документов, доверенных Adobe, мы должны сначала получить доказательство того, что закрытый ключ подписи клиента был сгенерирован и надежно хранится на сертифицированном устройстве FIPS 140-2 уровня 2 (или выше), с которого его нельзя экспортировать. Акт доказательства того, что закрытый ключ соответствует этим требованиям, известен как засвидетельствование. Точные процедуры аттестации закрытого ключа различаются для разных устройств и платформ облачных вычислений.
Некоторые услуги, например Google Cloud HSM, обеспечить удаленную аттестацию путем выдачи уникального сертификата для каждого используемого HSM, которого в сочетании с уникальным сертификатом, выданным производителем HSM, достаточно для обеспечения уверенности в том, что сгенерированный ключ обладает необходимыми атрибутами и соответствует требованиям PKCS # 11. Такое подтверждение считается достаточным доказательством для SSL.com, чтобы гарантировать соответствие ключа.
Однако есть сервисы, в первую очередь AWS, которые не обеспечивают удаленную аттестацию ключей. В этом случае аттестация выполняется вручную, которая называется церемонией генерации ключей (KGC). KGC требует подтверждения от высококвалифицированного аудитора. Клиент может использовать штатного специалиста SSL.com, но также может выбрать независимого специалиста по своему выбору. Это называется «Приведи своего собственного аудитора» (BYOA). Чтобы гарантировать, что процесс обеспечивает адекватную проверку, необходимо контролировать следующие поля:
- Право выбранного профессионала (аудитора), который должен обеспечить надлежащий KGC
- Процесс подготовки и исполнения КГК
- Минимальные требования, которые должны быть проверены аудитором и представлены в отчете
Процесс KGC: подготовка и руководство
BYOA - допустимая альтернатива для клиентов, но она требует тщательной подготовки, в противном случае существует значительный риск отклонения сгенерированного ключа. Это может произойти, если используемое устройство не соответствует требованиям, или аудитор не имеет квалификации, или аудиторское заключение не охватывает требования процесса. В таком случае церемонию и ее наблюдение необходимо повторить, что приведет к дополнительным расходам и задержкам для клиента.
Чтобы избежать таких сценариев, служба поддержки клиентов SSL.com и / или специалисты по валидации связываются с клиентом до KGC, чтобы предоставить рекомендации и обеспечить следующее:
- Аудитор утверждается в соответствии с критериями, описанными ниже.
- Требования к подготовке к церемонии, а также сценарий церемонии ясны и тщательно соблюдаются, так что среда KGC хорошо подготовлена.
- Любые ограничения и / или положения и условия, относящиеся к BYOA, ясны и принимаются клиентом.
Право аудитора КГК
Клиенты, запрашивающие сертификаты EV Code Signing или Adobe-Trusted Document Signing, могут представить запрос на подписание сертификата (CSR) и подтверждение от независимого специалиста (BYOA), что пара ключей была сгенерирована и сохранена в утвержденном HSM в утвержденной операционной среде и в соответствии со всеми атрибутами PKCS # 11.
SSL.com установил ряд критериев, чтобы гарантировать компетентность и этичность профессионала, которого выбирает клиент. Эти критерии, которые также используются для оценки и утверждения аффилированных аудиторов SSL.com, используются для обеспечения безопасности и соответствия продукта для подписи (EV Code Signing или Adobe-Trusted Document Signing certificate).
Критерии, которые рассматриваются для принятия или отклонения сертификации от аудитора:
- Техническая компетенция: Аудитор должен иметь квалификацию в области цифровой сертификации и кибербезопасности.
- Аудиторская компетенция: Аудитор должен подтвердить квалификацию своих аудиторских способностей с помощью соответствующей личной сертификации или профессиональных навыков (например, аудитор Webtrust / ETSI, Cloud Security Alliance CCAK).
- Этика: Проверка наличия обязательного этического кодекса, например, как часть сертификации аудитора.
- Возможность проверки указанной выше аудиторской информации: Проверка по общедоступному источнику (например, реестр аудиторов) для подтверждения сертификации.
Перед принятием эти критерии проверяются специалистами по валидации SSL.com. SSL.com поддерживает список одобренных BYOA сертификатов по вышеуказанным критериям, а также список аффилированных аудиторов для удобства клиентов.
Эта информация раскрывается заказчику на этапе подготовки. Для получения более подробной информации, пожалуйста, свяжитесь с support@ssl.com.
Требования к аттестации KGC
Этап подготовки имеет решающее значение, чтобы избежать неудач на церемонии, которые могут привести к дополнительным расходам и задержкам. Служба поддержки клиентов на SSL.com гарантирует, что все требования аудита доведены до сведения как клиента, так и квалифицированного аудитора до того, как будет выбран сценарий церемонии. Чтобы оказать дополнительную помощь, SSL.com подготовил материалы для поддержки AWS Cloud HSM, такие как требования к подготовке к церемонии и сценарий церемонии, которые можно получить, связавшись с support@ssl.com на этапе подготовки.
Клиент может выбрать создание собственного сценария через квалифицированного аудитора (QA), но в этом случае мы настоятельно рекомендуем, чтобы сценарий церемонии был рассмотрен и утвержден нашими собственными инженерами перед использованием.
В любом случае Квалифицированный аудитор должен лично проверить и засвидетельствовать следующее в отношении церемонии генерации закрытого ключа:
- Материал закрытого ключа был создан в HSM, совместимом как минимум с FIPS 140-2 уровня 2, и работает как минимум в режиме FIPS 140-2 уровня 2.
- HSM и прошивка, использованные на церемонии, были подлинными, и версия прошивки не связана с какими-либо известными уязвимостями.
- Программное обеспечение, используемое для церемонии, было официальным программным обеспечением HSM, предоставленным производителем, и его целостность была проверена QA.
- Все коммуникации с HSM во время процесса генерации ключей были зашифрованы и взаимно аутентифицированы с помощью криптографических средств.
- Материал закрытого ключа был создан внутри HSM и не был импортирован
- Материал закрытого ключа не помечен как извлекаемый (атрибут PKCS # 11 «CKA_EXTRACTABLE / CKA_EXPORTABLE») и никогда не был.
- Материал закрытого ключа помечен как конфиденциальный (атрибут PKCS # 11 «CKA_SENSITIVE»), и так было всегда.
- Доступ к сгенерированному ключевому материалу требует аутентификации пользователя.
- QA присутствовал, следил за всеми процедурами церемонии, и не было никаких подозрений или доказательств нечестной игры.
В дополнение к вышеуказанным требованиям, QA подтверждает, что операционная среда подписчика достигает уровня безопасности, по крайней мере эквивалентного уровню 140 FIPS 2-2.
Заключение
BYOA - допустимая и полезная альтернатива для случаев, когда удаленная аттестация недоступна для сертификатов с расширенной проверкой кода подписи и сертификатов утвержденного списка доверия Adobe. SSL.com гарантирует, что клиенты тщательно подготовлены к процедуре и обеспечены поддержкой на высшем уровне в случае, если они воспользуются этой возможностью.
