การออกใบรับรองดิจิทัลสำหรับ Extended Validation Code Signing หรือ เซ็นเอกสาร Adobe ต้องการgการสร้างคีย์ ด้วยคุณสมบัติด้านความปลอดภัยบางอย่าง เมื่อสร้างแล้ว คีย์จะต้องถูกตั้งค่าสถานะเป็น "ละเอียดอ่อน" (หมายความว่าคีย์ไม่สามารถแสดงในข้อความธรรมดาได้) และที่สำคัญกว่านั้นคือ ไม่สามารถส่งออกได้ (ไม่สามารถเปิดเผยได้แม้ในขณะที่เข้ารหัส) จาก HSM มีหลายเส้นทางที่ต้องปฏิบัติตามสำหรับขั้นตอนนี้ เช่น การรับโทเค็นที่ปลอดภัยจาก SSL.com พร้อมใบรับรองที่ติดตั้งไว้ล่วงหน้า บทความนี้เน้นที่กรณีที่ลูกค้าเลือกใช้บัญชี HSM จริงหรือบัญชี HSM บนระบบคลาวด์ของตนเอง และจ้างผู้เชี่ยวชาญที่มีคุณสมบัติตามที่ต้องการเพื่อยืนยันการดำเนินการตามกระบวนการนี้อย่างเหมาะสม
การรับรองคืออะไร?
ก่อนที่ SSL.com จะเซ็นและออกได้ การลงนามรหัส EV หรือใบรับรอง Adobe-Trusted Document Signing ก่อนอื่นเราต้องขอหลักฐานว่าคีย์การลงนามส่วนตัวของลูกค้าสร้างขึ้นและจัดเก็บไว้อย่างปลอดภัยในอุปกรณ์ที่ผ่านการรับรอง FIPS 140-2 ระดับ 2 (หรือสูงกว่า) ซึ่งไม่สามารถส่งออกได้ การพิสูจน์ว่าคีย์ส่วนตัวตรงตามข้อกำหนดเหล่านี้เรียกว่า การรับรอง. ขั้นตอนที่แน่นอนสำหรับการยืนยันคีย์ส่วนตัวจะแตกต่างกันไประหว่างอุปกรณ์และแพลตฟอร์มคลาวด์คอมพิวติ้ง
บริการบางอย่างเช่น Google Cloud HSMให้การรับรองจากระยะไกลโดยออกใบรับรองเฉพาะสำหรับ HSM ทุกอันที่ใช้ ซึ่งเมื่อรวมกับใบรับรองเฉพาะที่ออกโดยผู้ผลิต HSM ก็เพียงพอที่จะให้ความมั่นใจว่าคีย์ที่สร้างขึ้นนั้นมีแอตทริบิวต์ที่จำเป็นและเป็นไปตามข้อกำหนด PKCS #11 การรับรองดังกล่าวถือเป็นหลักฐานที่เพียงพอสำหรับ SSL.com เพื่อรับรองคุณสมบัติของคีย์
อย่างไรก็ตาม มีบริการต่างๆ โดยเฉพาะ AWS ที่ไม่ได้ให้การรับรองคีย์ระยะไกล ในกรณีนี้ การรับรองจะดำเนินการตามขั้นตอนแบบ manual ซึ่งเรียกว่า Key Generation Ceremony (KGC) KGC ต้องการการตรวจสอบจากผู้ตรวจสอบที่มีทักษะสูงในสาขานี้ ลูกค้าสามารถใช้ผู้เชี่ยวชาญภายในองค์กรจาก SSL.com แต่ยังสามารถเลือกใช้ผู้เชี่ยวชาญอิสระที่พวกเขาเลือกได้ สิ่งนี้เรียกว่า Bring Your Own Auditor (BYOA) เพื่อให้แน่ใจว่ากระบวนการให้การตรวจสอบที่เพียงพอ ฟิลด์ต่อไปนี้จำเป็นต้องได้รับการควบคุม:
- คุณสมบัติของผู้ประกอบวิชาชีพที่ได้รับเลือก (ผู้ตรวจสอบ) ที่จะจัดหา KGC . ที่เหมาะสม
- กระบวนการเตรียมการและดำเนินการของ KGC
- ข้อกำหนดขั้นต่ำที่ควรตรวจสอบและรายงานโดยผู้สอบบัญชี
กระบวนการ KGC: การเตรียมการและแนวทางปฏิบัติ
BYOA เป็นทางเลือกที่ถูกต้องสำหรับลูกค้า แต่ต้องมีการเตรียมการอย่างละเอียด มิฉะนั้น มีความเสี่ยงสูงที่จะถูกปฏิเสธสำหรับคีย์ที่สร้างขึ้น กรณีนี้อาจเกิดขึ้นได้หากอุปกรณ์ที่ใช้ไม่เป็นไปตามข้อกำหนด หรือผู้สอบบัญชีไม่มีคุณสมบัติ หรือรายงานของผู้ตรวจสอบไม่ครอบคลุมข้อกำหนดของกระบวนการ ในกรณีเช่นนี้ พิธีและการเป็นพยานจะต้องเกิดขึ้นซ้ำแล้วซ้ำอีก ส่งผลให้ลูกค้ามีค่าใช้จ่ายเพิ่มเติมและล่าช้า
เพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว ฝ่ายสนับสนุนลูกค้าของ SSL.com และ/หรือผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องจะสื่อสารกับลูกค้าก่อนที่ KGC จะให้คำแนะนำและรับรองสิ่งต่อไปนี้:
- ผู้สอบบัญชีได้รับอนุมัติตามหลักเกณฑ์ด้านล่าง
- ข้อกำหนดในการจัดเตรียมพิธีและบทพิธีมีความชัดเจนและปฏิบัติตามอย่างถี่ถ้วนเพื่อให้สภาพแวดล้อมของ KGC เตรียมพร้อมเป็นอย่างดี
- ข้อจำกัดและ/หรือข้อกำหนดและเงื่อนไขเฉพาะของ BYOA มีความชัดเจนและยอมรับโดยลูกค้า
คุณสมบัติของผู้ตรวจสอบบัญชี KGC
ลูกค้าที่ขอลงนามรหัส EV หรือใบรับรองการลงนามเอกสารที่เชื่อถือได้ของ Adobe สามารถแสดงคำขอลงนามใบรับรอง (CSR) และการยืนยันจากผู้เชี่ยวชาญอิสระ (BYOA) ว่าคู่คีย์ถูกสร้างขึ้นและเก็บไว้ใน HSM ที่ได้รับอนุมัติ ภายใต้สภาพแวดล้อมการทำงานที่ได้รับอนุมัติ และเป็นไปตามแอตทริบิวต์ PKCS #11 ทั้งหมด
SSL.com ได้กำหนดชุดของเกณฑ์เพื่อรับรองความสามารถและจริยธรรมของมืออาชีพที่ลูกค้าเลือก เกณฑ์เหล่านี้ ซึ่งใช้ในการประเมินและอนุมัติผู้ตรวจสอบบัญชีในเครือของ SSL.com นั้นใช้เพื่อให้มั่นใจในความปลอดภัยและความสอดคล้องของผลิตภัณฑ์ที่ลงนาม (การลงนามรหัส EV หรือใบรับรองการลงนามในเอกสารที่เชื่อถือได้ของ Adobe)
เกณฑ์ที่พิจารณาในการยอมรับหรือปฏิเสธการรับรองจากผู้สอบบัญชี ได้แก่
- ความสามารถทางเทคนิค: ผู้ตรวจสอบบัญชีต้องมีคุณสมบัติในด้านการรับรองดิจิทัลและความปลอดภัยทางไซเบอร์
- ความสามารถในการตรวจสอบ: ผู้ตรวจสอบต้องพิสูจน์คุณสมบัติของความสามารถในการตรวจสอบผ่านการรับรองส่วนบุคคลที่เหมาะสมหรือความสามารถทางวิชาชีพ (เช่น ผู้ตรวจสอบ Webtrust/ETSI, Cloud Security Alliance CCAK)
- จริยธรรม: ตรวจสอบว่ามีจรรยาบรรณที่มีผลผูกพัน เช่น เป็นส่วนหนึ่งของการรับรองของผู้สอบบัญชี
- ความสามารถในการตรวจสอบข้อมูลผู้ตรวจสอบข้างต้น: การตรวจสอบกับแหล่งข้อมูลสาธารณะ (เช่น ทะเบียนผู้ตรวจสอบบัญชี) เพื่อตรวจสอบการรับรอง
เกณฑ์เหล่านี้ได้รับการตรวจสอบโดยผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องของ SSL.com ก่อนที่จะได้รับการยอมรับ SSL.com รักษารายการใบรับรองที่ได้รับการอนุมัติจาก BYOA สำหรับเกณฑ์ข้างต้น พร้อมกับรายชื่อผู้ตรวจสอบในเครือเพื่อความสะดวกของลูกค้า
ข้อมูลนี้จะถูกเปิดเผยแก่ลูกค้าในระหว่างขั้นตอนการเตรียมการ ติดต่อสอบถามเพิ่มเติมได้ที่ support@ssl.com.
ข้อกำหนดในการรับรอง KGC
ขั้นตอนการเตรียมการมีความสำคัญอย่างยิ่งในการหลีกเลี่ยงอุบัติเหตุในพิธี ซึ่งอาจนำไปสู่ค่าใช้จ่ายเพิ่มเติมและความล่าช้า การดูแลลูกค้าใน SSL.com ช่วยให้มั่นใจว่าข้อกำหนดการตรวจสอบทั้งหมดได้รับการสื่อสารไปยังทั้งลูกค้าและผู้ตรวจสอบที่ผ่านการรับรองก่อนที่จะเลือกสคริปต์พิธี เพื่อให้ความช่วยเหลือเพิ่มเติม SSL.com ได้เตรียมเอกสารเพื่อรองรับ AWS Cloud HSM เช่น ข้อกำหนดในการเตรียมพิธีและสคริปต์สำหรับพิธี ซึ่งสามารถติดต่อได้โดยติดต่อ support@ssl.com ในระหว่างขั้นตอนการเตรียมการ
ลูกค้าสามารถเลือกที่จะสร้างสคริปต์ของตนเองได้ผ่าน Qualified Auditor (QA) แต่ในกรณีนี้ เราขอแนะนำเป็นอย่างยิ่งว่าสคริปต์ของพิธีได้รับการตรวจสอบและอนุมัติโดยวิศวกรของเราเองก่อนใช้งาน
ไม่ว่าในกรณีใด ผู้ตรวจสอบที่ผ่านการรับรองจะต้องตรวจสอบและรับรองสิ่งต่อไปนี้เกี่ยวกับพิธีการสร้างคีย์ส่วนตัว:
- วัสดุคีย์ส่วนตัวถูกสร้างขึ้นในมาตรฐาน HSM อย่างน้อย FIPS 140-2 ระดับ 2 และทำงานในโหมดอย่างน้อย FIPS 140-2 ระดับ 2
- HSM และเฟิร์มแวร์ที่ใช้ในพิธีนั้นเป็นของแท้และเวอร์ชั่นของเฟิร์มแวร์นั้นไม่เกี่ยวข้องกับช่องโหว่ที่รู้จัก
- ซอฟต์แวร์ที่ใช้ในพิธีเป็นซอฟต์แวร์ HSM อย่างเป็นทางการจากผู้ผลิต และความสมบูรณ์ของซอฟต์แวร์ได้รับการตรวจสอบโดย QA
- การสื่อสารทั้งหมดกับ HSM ระหว่างกระบวนการสร้างคีย์ได้รับการเข้ารหัสและรับรองความถูกต้องร่วมกันผ่านวิธีการเข้ารหัส
- วัสดุคีย์ส่วนตัวถูกสร้างขึ้นภายใน HSM และไม่ได้นำเข้า
- วัสดุคีย์ส่วนตัวไม่ได้ทำเครื่องหมายว่าแยกได้ (แอตทริบิวต์ PKCS #11 “CKA_EXTRACTABLE/CKA_EXPORTABLE”) และไม่เคยเป็นมาก่อน
- เนื้อหาคีย์ส่วนตัวถูกทำเครื่องหมายว่าละเอียดอ่อน (แอตทริบิวต์ PKCS #11 “CKA_SENSITIVE”) และเป็นเช่นนั้นเสมอมา
- การเข้าถึงวัสดุคีย์ที่สร้างขึ้นต้องมีการตรวจสอบสิทธิ์ผู้ใช้
- QA อยู่ด้วย ได้ปฏิบัติตามขั้นตอนของพิธีทั้งหมด และไม่มีการสงสัยหรือหลักฐานของการเล่นผิดกติกา
นอกเหนือจากข้อกำหนดข้างต้นแล้ว QA ยืนยันว่าสภาพแวดล้อมการทำงานของสมาชิกมีระดับความปลอดภัยอย่างน้อยเทียบเท่ากับ FIPS 140-2 ระดับ 2
สรุป
BYOA เป็นทางเลือกที่ถูกต้องและมีประโยชน์สำหรับกรณีที่ไม่มีการรับรองจากระยะไกลสำหรับ Extended Validation Code Signing และใบรับรอง Adobe Approved Trust List SSL.com ทำให้แน่ใจว่าลูกค้าได้เตรียมการอย่างถี่ถ้วนสำหรับขั้นตอนและให้การสนับสนุนระดับบนสุดในกรณีที่พวกเขาใช้ตัวเลือกนี้