HSM và xác thực FIPS
Tổng quan nhanh
Phần tiêu đề “Tổng quan nhanh”Tính năng ký của NextPDF Enterprise kết nối với các mô-đun bảo mật phần cứng (HSM) qua PKCS#11 và chạy mật mã bằng các mô-đun được xác thực theo Federal Information Processing Standards (FIPS). Khóa riêng tư dùng cho chữ ký luôn nằm bên trong phần cứng đã được chứng nhận, và mật mã được thực thi trong một mô-đun đã được xác thực độc lập. Nhờ đó, bạn có được hai thuộc tính đảm bảo mà các quy trình ký chịu quy định và có giá trị cao phụ thuộc vào.
Trang này dành cho người mua cần bằng chứng và mức đảm bảo. Nội dung giải thích các tiêu chuẩn mà tích hợp ký tuân theo, các lớp thiết bị mà nó hoạt động cùng, lập trường về khả năng tương tác và bằng chứng xác thực bạn có thể yêu cầu trước khi quyết định. Trang không đi vào chi tiết triển khai. Để xem tổng quan về sự phù hợp với tiêu chuẩn, hãy xem Tuân thủ và phù hợp.
Hỗ trợ mô-đun bảo mật phần cứng
Phần tiêu đề “Hỗ trợ mô-đun bảo mật phần cứng”Mô-đun bảo mật phần cứng là thiết bị đã được chứng nhận, dùng để tạo và lưu giữ khóa riêng tư, đồng thời thực hiện các thao tác mật mã thay cho bạn; nhờ vậy, vật liệu khóa không bao giờ rời khỏi thiết bị. NextPDF Enterprise ký thông qua các thiết bị này bằng PKCS#11. PKCS#11 là giao diện lập trình tiêu chuẩn được áp dụng rộng rãi, còn được gọi là Cryptoki, dành cho các thiết bị lưu giữ thông tin mật mã và thực hiện các hàm mật mã. Tiêu chuẩn này cũng xác định cách quản lý khóa trên một token mật mã, nhờ đó một tích hợp tiêu chuẩn duy nhất có thể tiếp cận nhiều loại thiết bị.
Vì tích hợp tuân theo PKCS#11 thay vì giao diện riêng của một nhà cung cấp, nên nó hoạt động với các lớp lưu giữ khóa phần cứng phổ biến:
- HSM dạng mạng và thiết bị chuyên dụng dùng để tập trung lưu giữ khóa cho nhiều dịch vụ ký.
- Dịch vụ HSM đám mây cung cấp giao diện PKCS#11 cho các ứng dụng chạy trong môi trường được quản lý.
- Thẻ thông minh và token ký dùng khi người ký giữ khóa trên thiết bị cá nhân.
Việc lưu giữ khóa bằng phần cứng kết hợp với hồ sơ chữ ký lưu trữ dài hạn, nhờ đó chữ ký bắt nguồn từ khóa được bảo vệ và vẫn có thể xác minh trong nhiều năm. Hãy xem Tuân thủ và phù hợp để biết các hồ sơ chữ ký và tiêu chuẩn tương ứng.
Mật mã được xác thực theo FIPS
Phần tiêu đề “Mật mã được xác thực theo FIPS”Đối với các triển khai yêu cầu đảm bảo mật mã, NextPDF Enterprise hoạt động với các mô-đun mật mã được xác thực theo FIPS. FIPS 140-3 là tiêu chuẩn của Hoa Kỳ về yêu cầu bảo mật đối với mô-đun mật mã. Tiêu chuẩn này thay thế cho FIPS 140-2 và tương thích với tiêu chuẩn quốc tế ISO/IEC 19790.
Việc xác thực là một quy trình độc lập, không phải tuyên bố của nhà cung cấp. Sự phù hợp của một mô-đun với các yêu cầu bảo mật dành cho mô-đun mật mã được xác lập bằng thử nghiệm được công nhận dựa trên một tập hợp các khẳng định đã định nghĩa. Cơ quan xác thực liệt kê các mô-đun đã được xác thực. Khi bạn dùng một mô-đun đã được xác thực, mật mã đứng sau chữ ký chạy bên trong phần cứng đã vượt qua quy trình độc lập đó, thay vì trong mã chưa được kiểm chứng.
NextPDF Enterprise không tự cấp xác thực FIPS cho riêng mình; nó hoạt động với các mô-đun đã được xác thực để quy trình ký của bạn thừa hưởng sự đảm bảo của chúng. Mô-đun áp dụng tùy thuộc vào phần cứng hoặc dịch vụ đám mây mà bạn triển khai.
Khả năng tương tác và bằng chứng xác thực
Phần tiêu đề “Khả năng tương tác và bằng chứng xác thực”NextPDF Enterprise được xây dựng để tương tác với phần cứng phù hợp tiêu chuẩn, chứ không bị giới hạn ở một nhà cung cấp duy nhất. Lập trường về khả năng tương tác là:
- Giao diện tiêu chuẩn. Việc ký tiếp cận phần cứng thông qua tiêu chuẩn PKCS#11, nên các thiết bị có giao diện phù hợp được hỗ trợ như một lớp.
- Mô-đun đã được xác thực. Mật mã chạy với các mô-đun được xác thực theo FIPS, trong đó việc xác thực được xác lập độc lập.
- Chữ ký dựa trên tiêu chuẩn. Các chữ ký được tạo ra tuân theo các hồ sơ baseline của PDF Advanced Electronic Signatures (PAdES), bao gồm cấp lưu trữ dài hạn để duy trì khả năng xác minh. Hãy xem Tuân thủ và phù hợp.
Nếu bạn là người mua hoặc kiểm toán viên và cần xác nhận điều này trước khi quyết định, NextPDF có thể cung cấp bằng chứng theo yêu cầu, bao gồm:
- Các lớp mô-đun bảo mật phần cứng mà tích hợp ký đã được kiểm tra, cùng lập trường về khả năng tương tác cho thiết bị mục tiêu của bạn.
- Các mô-đun được xác thực theo FIPS đang sử dụng, cùng cách xác nhận việc xác thực của chúng với cơ quan xác thực.
- Các hồ sơ chữ ký được tạo ra, cùng cách một trình xác minh độc lập kiểm chứng chúng.
Yêu cầu báo cáo xác thực
Phần tiêu đề “Yêu cầu báo cáo xác thực”Để yêu cầu báo cáo xác thực hoặc trao đổi về các yêu cầu phần cứng và đảm bảo của bạn trước khi mua, hãy liên hệ với bộ phận bán hàng qua cổng giấy phép. Hãy cho chúng tôi biết mô-đun bảo mật phần cứng hoặc dịch vụ khóa đám mây mục tiêu của bạn, cùng cấp đảm bảo FIPS bạn cần. Chúng tôi sẽ ánh xạ yêu cầu của bạn tới các lớp thiết bị được hỗ trợ và bằng chứng xác thực sẵn có tương ứng.