การตรวจรับรอง HSM และ FIPS
โดยสรุป
หัวข้อที่มีชื่อว่า “โดยสรุป”การลงนามของ NextPDF Enterprise เชื่อมต่อกับฮาร์ดแวร์ซิเคียวริตีโมดูล (HSM) ผ่าน PKCS#11 และดำเนินการเข้ารหัสลับด้วยโมดูลที่ผ่านการตรวจรับรองตาม Federal Information Processing Standards (FIPS) คีย์ส่วนตัวที่อยู่เบื้องหลังลายเซ็นยังคงอยู่ภายในฮาร์ดแวร์ที่ผ่านการรับรอง และการเข้ารหัสลับทำงานภายในโมดูลที่ผ่านการตรวจรับรองโดยอิสระ จึงให้หลักประกันสองด้านซึ่งจำเป็นต่อเวิร์กโฟลว์การลงนามที่มีมูลค่าสูงและต้องอยู่ภายใต้การกำกับดูแล
หน้านี้ให้หลักฐานและหลักประกันสำหรับผู้ซื้อ โดยอธิบายมาตรฐานที่การผสานการลงนามปฏิบัติตาม คลาสอุปกรณ์ที่ใช้งานร่วมกันได้ จุดยืนด้านการทำงานร่วมกัน และหลักฐานการตรวจรับรองที่คุณร้องขอได้ก่อนตัดสินใจ หน้านี้ไม่ได้อธิบายรายละเอียดการนำไปใช้งาน หากต้องการภาพรวมความสอดคล้องกับมาตรฐาน โปรดดู การปฏิบัติตามและความสอดคล้องกับมาตรฐาน
การรองรับฮาร์ดแวร์ซิเคียวริตีโมดูล
หัวข้อที่มีชื่อว่า “การรองรับฮาร์ดแวร์ซิเคียวริตีโมดูล”ฮาร์ดแวร์ซิเคียวริตีโมดูลคืออุปกรณ์ที่ผ่านการรับรองซึ่งสร้างและเก็บรักษาคีย์ส่วนตัว รวมถึงดำเนินการเข้ารหัสลับให้คุณ เพื่อไม่ให้ข้อมูลคีย์ออกจากอุปกรณ์ NextPDF Enterprise ลงนามผ่านอุปกรณ์เหล่านี้โดยใช้ PKCS#11 PKCS#11 เป็นอินเทอร์เฟซการเขียนโปรแกรมมาตรฐานที่ได้รับการยอมรับอย่างกว้างขวาง หรือรู้จักในชื่อ Cryptoki สำหรับอุปกรณ์ที่เก็บข้อมูลการเข้ารหัสลับและดำเนินการฟังก์ชันการเข้ารหัสลับ นอกจากนี้ PKCS#11 ยังกำหนดวิธีจัดการคีย์บนคริปโทกราฟิกโทเคน ทำให้การผสานตามมาตรฐานเดียวเข้าถึงอุปกรณ์ได้หลายประเภท
เนื่องจากการผสานปฏิบัติตาม PKCS#11 แทนอินเทอร์เฟซเฉพาะของผู้จำหน่าย จึงทำงานร่วมกับการเก็บรักษาคีย์ด้วยฮาร์ดแวร์ในคลาสที่พบได้ทั่วไปดังนี้
- HSM แบบเครือข่ายและแบบแอปพลายแอนซ์ ใช้เพื่อรวมศูนย์การเก็บรักษาคีย์สำหรับบริการลงนามจำนวนมาก
- บริการ Cloud HSM ที่นำเสนออินเทอร์เฟซ PKCS#11 ให้แก่แอปพลิเคชันที่ทำงานในสภาพแวดล้อมที่มีการจัดการ
- สมาร์ตการ์ดและโทเคนสำหรับลงนาม ใช้เมื่อผู้ลงนามเก็บคีย์ไว้ในอุปกรณ์ส่วนตัว
การเก็บรักษาคีย์ด้วยฮาร์ดแวร์ทำงานร่วมกับโปรไฟล์ลายเซ็นสำหรับการจัดเก็บระยะยาว ดังนั้นลายเซ็นจึงมาจากคีย์ที่ได้รับการป้องกันและยังตรวจสอบได้ต่อเนื่องหลายปี โปรดดู การปฏิบัติตามและความสอดคล้องกับมาตรฐาน สำหรับโปรไฟล์ลายเซ็นและมาตรฐานที่เกี่ยวข้อง
การเข้ารหัสลับที่ผ่านการตรวจรับรองตาม FIPS
หัวข้อที่มีชื่อว่า “การเข้ารหัสลับที่ผ่านการตรวจรับรองตาม FIPS”สำหรับการใช้งานที่มีข้อกำหนดด้านหลักประกันการเข้ารหัสลับ NextPDF Enterprise ทำงานด้วยโมดูลการเข้ารหัสลับที่ผ่านการตรวจรับรองตาม FIPS FIPS 140-3 เป็นมาตรฐานของสหรัฐอเมริกาสำหรับข้อกำหนดด้านความปลอดภัยของโมดูลการเข้ารหัสลับ มาตรฐานนี้แทนที่ FIPS 140-2 และสอดคล้องกับมาตรฐานสากล ISO/IEC 19790
การตรวจรับรองเป็นกระบวนการอิสระ ไม่ใช่คำกล่าวอ้างของผู้จำหน่าย ความสอดคล้องของโมดูลกับข้อกำหนดด้านความปลอดภัยของโมดูลการเข้ารหัสลับได้รับการยืนยันผ่านการทดสอบโดยหน่วยงานที่ได้รับการรับรอง โดยเทียบกับชุดข้อกำหนดที่กำหนดไว้ หน่วยงานที่ทำการตรวจรับรองจะจัดทำรายการโมดูลที่ผ่านการตรวจรับรอง เมื่อคุณใช้โมดูลที่ผ่านการตรวจรับรอง การเข้ารหัสลับที่อยู่เบื้องหลังลายเซ็นจะทำงานภายในฮาร์ดแวร์ที่ผ่านกระบวนการอิสระดังกล่าว แทนที่จะทำงานในโค้ดที่ยังไม่ได้รับการตรวจสอบ
NextPDF Enterprise ไม่ได้ออกการตรวจรับรอง FIPS ของตนเอง แต่ทำงานด้วยโมดูลที่ผ่านการตรวจรับรอง เพื่อให้การลงนามของคุณได้รับหลักประกันที่สืบทอดจากโมดูลเหล่านั้น โมดูลที่ใช้ได้ขึ้นอยู่กับฮาร์ดแวร์หรือบริการคลาวด์ที่คุณนำไปใช้งาน
การทำงานร่วมกันและหลักฐานการตรวจรับรอง
หัวข้อที่มีชื่อว่า “การทำงานร่วมกันและหลักฐานการตรวจรับรอง”NextPDF Enterprise สร้างขึ้นให้ทำงานร่วมกับฮาร์ดแวร์ที่สอดคล้องกับมาตรฐาน ไม่ได้ผูกกับผู้จำหน่ายรายเดียว จุดยืนด้านการทำงานร่วมกันมีดังนี้
- อินเทอร์เฟซมาตรฐาน การลงนามเข้าถึงฮาร์ดแวร์ผ่านมาตรฐาน PKCS#11 ดังนั้นอุปกรณ์ที่มีอินเทอร์เฟซสอดคล้องกับมาตรฐานจึงได้รับการรองรับในระดับคลาส
- โมดูลที่ผ่านการตรวจรับรอง การเข้ารหัสลับทำงานด้วยโมดูลที่ผ่านการตรวจรับรองตาม FIPS ซึ่งการตรวจรับรองได้รับการยืนยันโดยอิสระ
- ลายเซ็นที่อิงตามมาตรฐาน ลายเซ็นที่สร้างขึ้นเป็นไปตามโปรไฟล์พื้นฐานของ PDF Advanced Electronic Signatures (PAdES) รวมถึงระดับการจัดเก็บระยะยาวเพื่อให้ตรวจสอบได้อย่างคงทน โปรดดู การปฏิบัติตามและความสอดคล้องกับมาตรฐาน
หากคุณเป็นผู้ซื้อหรือผู้ตรวจสอบและต้องการยืนยันเรื่องนี้ก่อนตัดสินใจ NextPDF สามารถให้หลักฐานตามคำขอได้ ซึ่งประกอบด้วย
- คลาสของฮาร์ดแวร์ซิเคียวริตีโมดูลที่การผสานการลงนามได้รับการทดสอบแล้ว และจุดยืนด้านการทำงานร่วมกันสำหรับอุปกรณ์เป้าหมายของคุณ
- โมดูลที่ผ่านการตรวจรับรองตาม FIPS ที่ใช้งานอยู่ และวิธียืนยันการตรวจรับรองกับหน่วยงานที่ทำการตรวจรับรอง
- โปรไฟล์ลายเซ็นที่สร้างขึ้น และวิธีที่ผู้ตรวจสอบอิสระใช้ตรวจสอบลายเซ็นเหล่านั้น
ขอรายงานการตรวจรับรอง
หัวข้อที่มีชื่อว่า “ขอรายงานการตรวจรับรอง”หากต้องการขอรายงานการตรวจรับรองหรือปรึกษาเกี่ยวกับข้อกำหนดด้านฮาร์ดแวร์และหลักประกันของคุณก่อนซื้อ โปรดติดต่อฝ่ายขายผ่าน พอร์ทัลใบอนุญาต แจ้งฮาร์ดแวร์ซิเคียวริตีโมดูลเป้าหมายหรือบริการคีย์บนคลาวด์ และระดับหลักประกัน FIPS ของคุณให้เราทราบ เราจะจับคู่ข้อกำหนดของคุณกับคลาสอุปกรณ์ที่รองรับและหลักฐานการตรวจรับรองที่มีสำหรับข้อกำหนดนั้น