HSM ve FIPS doğrulaması
Genel bakış
“Genel bakış” başlıklı bölümNextPDF Enterprise imzalama özelliği, PKCS#11 aracılığıyla donanım güvenlik modüllerine (HSM’lere) bağlanır ve kriptografiyi Federal Information Processing Standards (FIPS) doğrulamalı modüllerde çalıştırır. Bir imzanın arkasındaki özel anahtar sertifikalı donanımın içinde kalır; kriptografi de bağımsız olarak doğrulanmış bir modülün içinde yürütülür. Böylece, düzenlemeye tabi ve yüksek değerli imzalama iş akışlarının dayandığı iki güvence niteliğini elde edersiniz.
Bu sayfa, alıcılara kanıt ve güvence sunar. İmzalama entegrasyonunun uyduğu standartları, birlikte çalıştığı aygıt sınıflarını, birlikte çalışabilirlik yaklaşımını ve karar vermeden önce talep edebileceğiniz doğrulama kanıtlarını açıklar. Uygulama ayrıntılarını içermez. Standartlara uygunluk genel bakışı için bkz. Uyumluluk ve uygunluk.
Donanım güvenlik modülü desteği
“Donanım güvenlik modülü desteği” başlıklı bölümDonanım güvenlik modülü, özel anahtarları üreten ve saklayan, kriptografik işlemleri sizin yerinize gerçekleştiren sertifikalı bir aygıttır; bu sayede anahtar malzemesi aygıttan asla çıkmaz. NextPDF Enterprise, PKCS#11 kullanarak bu aygıtlar üzerinden imza üretir. PKCS#11, kriptografik bilgileri tutan ve kriptografik işlevleri gerçekleştiren aygıtlar için, Cryptoki olarak da bilinen, yaygın kabul görmüş standart programlama arabirimidir. Ayrıca anahtarların bir kriptografik belirteç üzerinde nasıl yönetileceğini tanımlar; böylece tek bir standart entegrasyon geniş bir aygıt yelpazesini kapsayabilir.
Entegrasyon, satıcıya özgü bir arabirim yerine PKCS#11 standardını izlediği için yaygın donanım tabanlı anahtar saklama sınıflarının tümünde çalışır:
- Ağ ve cihaz HSM’leri, imzalama hizmeti gruplarında anahtar saklamayı merkezileştirmek için kullanılır.
- Bulut HSM hizmetleri, yönetilen ortamlarda çalışan uygulamalara PKCS#11 arabirimi sunar.
- Akıllı kartlar ve imzalama belirteçleri, imzalayana ait anahtar kişisel bir aygıtta tutulduğunda kullanılır.
Donanım anahtar saklaması, uzun vadeli arşiv imza profiliyle birlikte çalışır; böylece imza korunan bir anahtarla oluşturulur ve yıllarca doğrulanabilir kalır. İmza profilleri ve bunların standartları için bkz. Uyumluluk ve uygunluk.
FIPS doğrulamalı kriptografi
“FIPS doğrulamalı kriptografi” başlıklı bölümKriptografik güvence gereksinimleri bulunan dağıtımlarda NextPDF Enterprise, FIPS doğrulamalı kriptografik modüllerle çalışır. FIPS 140-3, kriptografik modüllere yönelik güvenlik gereksinimleri için Amerika Birleşik Devletleri standardıdır. FIPS 140-2’nin yerini alır ve ISO/IEC 19790 uluslararası standardıyla uyumludur.
Doğrulama, satıcı beyanı değil bağımsız bir süreçtir. Bir modülün kriptografik modül güvenlik gereksinimlerine uygunluğu, tanımlı doğrulama ölçütlerine göre akredite testlerle belirlenir. Doğrulama makamı, doğrulanmış modülleri listeler. Doğrulanmış bir modül kullandığınızda, imzanın arkasındaki kriptografi doğrulanmamış kod içinde değil, bu bağımsız süreçten geçmiş donanım içinde çalışır.
NextPDF Enterprise kendi FIPS doğrulamasını sağlamaz; doğrulanmış modüllerle çalışır, böylece imzalama işleminiz bu modüllerin güvencesinden yararlanır. Geçerli modül, dağıttığınız donanıma veya bulut hizmetine bağlıdır.
Birlikte çalışabilirlik ve doğrulama kanıtı
“Birlikte çalışabilirlik ve doğrulama kanıtı” başlıklı bölümNextPDF Enterprise, tek bir satıcıyla değil, standartlara uygun donanımla birlikte çalışacak şekilde tasarlanmıştır. Birlikte çalışabilirlik yaklaşımı şöyledir:
- Standart arabirim. İmzalama, donanıma PKCS#11 standardı aracılığıyla erişir; böylece uygun arabirime sahip aygıtlar bir sınıf olarak desteklenir.
- Doğrulanmış modüller. Kriptografi, bağımsız doğrulamadan geçmiş FIPS doğrulamalı modüllerle çalışır.
- Standartlara dayalı imzalar. Üretilen imzalar, kalıcı doğrulanabilirlik için uzun vadeli arşiv düzeyi de dâhil olmak üzere PDF Advanced Electronic Signatures (PAdES) temel profillerini izler. Bkz. Uyumluluk ve uygunluk.
Bir alıcı veya denetçiyseniz ve karar vermeden önce bunu doğrulamanız gerekiyorsa, NextPDF talep üzerine aşağıdakiler de dâhil olmak üzere kanıt sağlayabilir:
- İmzalama entegrasyonunun test edildiği donanım güvenlik modülü sınıfları ve hedef aygıtınız için birlikte çalışabilirlik yaklaşımı.
- Kullanımdaki FIPS doğrulamalı modüller ve bunların doğrulamasını doğrulama makamı üzerinden nasıl teyit edebileceğiniz.
- Üretilen imza profilleri ve bağımsız bir doğrulayıcının bunları nasıl doğruladığı.
Doğrulama raporu talep edin
“Doğrulama raporu talep edin” başlıklı bölümBir doğrulama raporu istemek veya satın almadan önce donanım ve güvence gereksinimlerinizi görüşmek için lisans portalı aracılığıyla satış ekibiyle iletişime geçin. Hedef donanım güvenlik modülünüzü veya bulut anahtar hizmetinizi ve FIPS güvence düzeyinizi bize bildirin. Gereksiniminizi, desteklenen aygıt sınıfları ve bunlar için sunulan doğrulama kanıtlarıyla eşleştireceğiz.