นำใบรับรอง HSM ของผู้ตรวจสอบบัญชีมาใช้เอง

จานนิส นาซิริดิส

3 ปีที่ผ่านมา

การออกใบรับรองดิจิทัลสำหรับ Extended Validation Code Signing หรือ เซ็นเอกสาร Adobe ต้องการgการสร้างคีย์ ด้วยคุณสมบัติด้านความปลอดภัยบางอย่าง เมื่อสร้างแล้ว คีย์จะต้องถูกตั้งค่าสถานะเป็น "ละเอียดอ่อน" (หมายความว่าคีย์ไม่สามารถแสดงในข้อความธรรมดาได้) และที่สำคัญกว่านั้นคือ ไม่สามารถส่งออกได้ (ไม่สามารถเปิดเผยได้แม้ในขณะที่เข้ารหัส) จาก HSM มีหลายเส้นทางที่ต้องปฏิบัติตามสำหรับขั้นตอนนี้ เช่น การรับโทเค็นที่ปลอดภัยจาก SSL.com พร้อมใบรับรองที่ติดตั้งไว้ล่วงหน้า บทความนี้เน้นที่กรณีที่ลูกค้าเลือกใช้บัญชี HSM จริงหรือบัญชี HSM บนระบบคลาวด์ของตนเอง และจ้างผู้เชี่ยวชาญที่มีคุณสมบัติตามที่ต้องการเพื่อยืนยันการดำเนินการตามกระบวนการนี้อย่างเหมาะสม

การเซ็นเอกสาร การเซ็นรหัส eSeling และอื่นๆ ด้วย eSigner! คลิกด้านล่างเพื่อดูข้อมูลเพิ่มเติม

เรียนรู้เพิ่มเติม

การรับรองคืออะไร?

ก่อนที่ SSL.com จะเซ็นและออกได้ การลงนามรหัส EV หรือใบรับรอง Adobe-Trusted Document Signing ก่อนอื่นเราต้องขอหลักฐานว่าคีย์การลงนามส่วนตัวของลูกค้าสร้างขึ้นและจัดเก็บไว้อย่างปลอดภัยในอุปกรณ์ที่ผ่านการรับรอง FIPS 140-2 ระดับ 2 (หรือสูงกว่า) ซึ่งไม่สามารถส่งออกได้ การพิสูจน์ว่าคีย์ส่วนตัวตรงตามข้อกำหนดเหล่านี้เรียกว่า การรับรอง. ขั้นตอนที่แน่นอนสำหรับการยืนยันคีย์ส่วนตัวจะแตกต่างกันไประหว่างอุปกรณ์และแพลตฟอร์มคลาวด์คอมพิวติ้ง

บริการบางอย่างเช่น Google Cloud HSMให้การรับรองจากระยะไกลโดยออกใบรับรองเฉพาะสำหรับ HSM ทุกอันที่ใช้ ซึ่งเมื่อรวมกับใบรับรองเฉพาะที่ออกโดยผู้ผลิต HSM ก็เพียงพอที่จะให้ความมั่นใจว่าคีย์ที่สร้างขึ้นนั้นมีแอตทริบิวต์ที่จำเป็นและเป็นไปตามข้อกำหนด PKCS #11 การรับรองดังกล่าวถือเป็นหลักฐานที่เพียงพอสำหรับ SSL.com เพื่อรับรองคุณสมบัติของคีย์

อย่างไรก็ตาม มีบริการต่างๆ โดยเฉพาะ AWS ที่ไม่ได้ให้การรับรองคีย์ระยะไกล ในกรณีนี้ การรับรองจะดำเนินการตามขั้นตอนแบบ manual ซึ่งเรียกว่า Key Generation Ceremony (KGC) KGC ต้องการการตรวจสอบจากผู้ตรวจสอบที่มีทักษะสูงในสาขานี้ ลูกค้าสามารถใช้ผู้เชี่ยวชาญภายในองค์กรจาก SSL.com แต่ยังสามารถเลือกใช้ผู้เชี่ยวชาญอิสระที่พวกเขาเลือกได้ สิ่งนี้เรียกว่า Bring Your Own Auditor (BYOA) เพื่อให้แน่ใจว่ากระบวนการให้การตรวจสอบที่เพียงพอ ฟิลด์ต่อไปนี้จำเป็นต้องได้รับการควบคุม:

คุณสมบัติของผู้ประกอบวิชาชีพที่ได้รับเลือก (ผู้ตรวจสอบ) ที่จะจัดหา KGC . ที่เหมาะสม
กระบวนการเตรียมการและดำเนินการของ KGC
ข้อกำหนดขั้นต่ำที่ควรตรวจสอบและรายงานโดยผู้สอบบัญชี

กระบวนการ KGC: การเตรียมการและแนวทางปฏิบัติ

BYOA เป็นทางเลือกที่ถูกต้องสำหรับลูกค้า แต่ต้องมีการเตรียมการอย่างละเอียด มิฉะนั้น มีความเสี่ยงสูงที่จะถูกปฏิเสธสำหรับคีย์ที่สร้างขึ้น กรณีนี้อาจเกิดขึ้นได้หากอุปกรณ์ที่ใช้ไม่เป็นไปตามข้อกำหนด หรือผู้สอบบัญชีไม่มีคุณสมบัติ หรือรายงานของผู้ตรวจสอบไม่ครอบคลุมข้อกำหนดของกระบวนการ ในกรณีเช่นนี้ พิธีและการเป็นพยานจะต้องเกิดขึ้นซ้ำแล้วซ้ำอีก ส่งผลให้ลูกค้ามีค่าใช้จ่ายเพิ่มเติมและล่าช้า

เพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว ฝ่ายสนับสนุนลูกค้าของ SSL.com และ/หรือผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องจะสื่อสารกับลูกค้าก่อนที่ KGC จะให้คำแนะนำและรับรองสิ่งต่อไปนี้:

ผู้สอบบัญชีได้รับอนุมัติตามหลักเกณฑ์ด้านล่าง
ข้อกำหนดในการจัดเตรียมพิธีและบทพิธีมีความชัดเจนและปฏิบัติตามอย่างถี่ถ้วนเพื่อให้สภาพแวดล้อมของ KGC เตรียมพร้อมเป็นอย่างดี
ข้อจำกัดและ/หรือข้อกำหนดและเงื่อนไขเฉพาะของ BYOA มีความชัดเจนและยอมรับโดยลูกค้า

คุณสมบัติของผู้ตรวจสอบบัญชี KGC

ลูกค้าที่ขอลงนามรหัส EV หรือใบรับรองการลงนามเอกสารที่เชื่อถือได้ของ Adobe สามารถแสดงคำขอลงนามใบรับรอง (CSR) และการยืนยันจากผู้เชี่ยวชาญอิสระ (BYOA) ว่าคู่คีย์ถูกสร้างขึ้นและเก็บไว้ใน HSM ที่ได้รับอนุมัติ ภายใต้สภาพแวดล้อมการทำงานที่ได้รับอนุมัติ และเป็นไปตามแอตทริบิวต์ PKCS #11 ทั้งหมด

SSL.com ได้กำหนดชุดของเกณฑ์เพื่อรับรองความสามารถและจริยธรรมของมืออาชีพที่ลูกค้าเลือก เกณฑ์เหล่านี้ ซึ่งใช้ในการประเมินและอนุมัติผู้ตรวจสอบบัญชีในเครือของ SSL.com นั้นใช้เพื่อให้มั่นใจในความปลอดภัยและความสอดคล้องของผลิตภัณฑ์ที่ลงนาม (การลงนามรหัส EV หรือใบรับรองการลงนามในเอกสารที่เชื่อถือได้ของ Adobe)

เกณฑ์ที่พิจารณาในการยอมรับหรือปฏิเสธการรับรองจากผู้สอบบัญชี ได้แก่

ความสามารถทางเทคนิค: ผู้ตรวจสอบบัญชีต้องมีคุณสมบัติในด้านการรับรองดิจิทัลและความปลอดภัยทางไซเบอร์
ความสามารถในการตรวจสอบ: ผู้ตรวจสอบต้องพิสูจน์คุณสมบัติของความสามารถในการตรวจสอบผ่านการรับรองส่วนบุคคลที่เหมาะสมหรือความสามารถทางวิชาชีพ (เช่น ผู้ตรวจสอบ Webtrust/ETSI, Cloud Security Alliance CCAK)
จริยธรรม: ตรวจสอบว่ามีจรรยาบรรณที่มีผลผูกพัน เช่น เป็นส่วนหนึ่งของการรับรองของผู้สอบบัญชี
ความสามารถในการตรวจสอบข้อมูลผู้ตรวจสอบข้างต้น: การตรวจสอบกับแหล่งข้อมูลสาธารณะ (เช่น ทะเบียนผู้ตรวจสอบบัญชี) เพื่อตรวจสอบการรับรอง

เกณฑ์เหล่านี้ได้รับการตรวจสอบโดยผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องของ SSL.com ก่อนที่จะได้รับการยอมรับ SSL.com รักษารายการใบรับรองที่ได้รับการอนุมัติจาก BYOA สำหรับเกณฑ์ข้างต้น พร้อมกับรายชื่อผู้ตรวจสอบในเครือเพื่อความสะดวกของลูกค้า

ข้อมูลนี้จะถูกเปิดเผยแก่ลูกค้าในระหว่างขั้นตอนการเตรียมการ ติดต่อสอบถามเพิ่มเติมได้ที่ support@ssl.com.

ข้อกำหนดในการรับรอง KGC

ขั้นตอนการเตรียมการมีความสำคัญอย่างยิ่งในการหลีกเลี่ยงอุบัติเหตุในพิธี ซึ่งอาจนำไปสู่ค่าใช้จ่ายเพิ่มเติมและความล่าช้า การดูแลลูกค้าใน SSL.com ช่วยให้มั่นใจว่าข้อกำหนดการตรวจสอบทั้งหมดได้รับการสื่อสารไปยังทั้งลูกค้าและผู้ตรวจสอบที่ผ่านการรับรองก่อนที่จะเลือกสคริปต์พิธี เพื่อให้ความช่วยเหลือเพิ่มเติม SSL.com ได้เตรียมเอกสารเพื่อรองรับ AWS Cloud HSM เช่น ข้อกำหนดในการเตรียมพิธีและสคริปต์สำหรับพิธี ซึ่งสามารถติดต่อได้โดยติดต่อ support@ssl.com ในระหว่างขั้นตอนการเตรียมการ

ลูกค้าสามารถเลือกที่จะสร้างสคริปต์ของตนเองได้ผ่าน Qualified Auditor (QA) แต่ในกรณีนี้ เราขอแนะนำเป็นอย่างยิ่งว่าสคริปต์ของพิธีได้รับการตรวจสอบและอนุมัติโดยวิศวกรของเราเองก่อนใช้งาน

ไม่ว่าในกรณีใด ผู้ตรวจสอบที่ผ่านการรับรองจะต้องตรวจสอบและรับรองสิ่งต่อไปนี้เกี่ยวกับพิธีการสร้างคีย์ส่วนตัว:

วัสดุคีย์ส่วนตัวถูกสร้างขึ้นในมาตรฐาน HSM อย่างน้อย FIPS 140-2 ระดับ 2 และทำงานในโหมดอย่างน้อย FIPS 140-2 ระดับ 2
HSM และเฟิร์มแวร์ที่ใช้ในพิธีนั้นเป็นของแท้และเวอร์ชั่นของเฟิร์มแวร์นั้นไม่เกี่ยวข้องกับช่องโหว่ที่รู้จัก
ซอฟต์แวร์ที่ใช้ในพิธีเป็นซอฟต์แวร์ HSM อย่างเป็นทางการจากผู้ผลิต และความสมบูรณ์ของซอฟต์แวร์ได้รับการตรวจสอบโดย QA
การสื่อสารทั้งหมดกับ HSM ระหว่างกระบวนการสร้างคีย์ได้รับการเข้ารหัสและรับรองความถูกต้องร่วมกันผ่านวิธีการเข้ารหัส
วัสดุคีย์ส่วนตัวถูกสร้างขึ้นภายใน HSM และไม่ได้นำเข้า
วัสดุคีย์ส่วนตัวไม่ได้ทำเครื่องหมายว่าแยกได้ (แอตทริบิวต์ PKCS #11 “CKA_EXTRACTABLE/CKA_EXPORTABLE”) และไม่เคยเป็นมาก่อน
เนื้อหาคีย์ส่วนตัวถูกทำเครื่องหมายว่าละเอียดอ่อน (แอตทริบิวต์ PKCS #11 “CKA_SENSITIVE”) และเป็นเช่นนั้นเสมอมา
การเข้าถึงวัสดุคีย์ที่สร้างขึ้นต้องมีการตรวจสอบสิทธิ์ผู้ใช้
QA อยู่ด้วย ได้ปฏิบัติตามขั้นตอนของพิธีทั้งหมด และไม่มีการสงสัยหรือหลักฐานของการเล่นผิดกติกา

นอกเหนือจากข้อกำหนดข้างต้นแล้ว QA ยืนยันว่าสภาพแวดล้อมการทำงานของสมาชิกมีระดับความปลอดภัยอย่างน้อยเทียบเท่ากับ FIPS 140-2 ระดับ 2

สรุป

BYOA เป็นทางเลือกที่ถูกต้องและมีประโยชน์สำหรับกรณีที่ไม่มีการรับรองจากระยะไกลสำหรับ Extended Validation Code Signing และใบรับรอง Adobe Approved Trust List SSL.com ทำให้แน่ใจว่าลูกค้าได้เตรียมการอย่างถี่ถ้วนสำหรับขั้นตอนและให้การสนับสนุนระดับบนสุดในกรณีที่พวกเขาใช้ตัวเลือกนี้