E-semnatura este implementat pe infrastructură gestionată de client și poate rula local, în cloud sau într-un mediu hibrid. Sunt acceptate toate tipurile de infrastructură.

Nu. E-semnatura este licențiat clienților și implementat pe o infrastructură gestionată complet de clienți, astfel încât echipa Ghesar nu are niciodată acces la cheile private sau la datele modulului dvs. de securitate hardware (HSM).

E-semnatura se integrează cu Thales Luna HSM-uri, Entrust nShield HSM-uri, HashiCorp Vault, AWS KMS, AWS CloudHSM, Google Cloud KMS și Azure Key Vault. Integrări noi sunt adăugate frecvent, așa că vă rugăm să contactați echipa Ghesar dacă HSM-ul sau managerul de chei nu este listat aici.

Deși E-semnatura introduce o intersecție suplimentară în rețea în arhitectură, datele totale trimise prin rețea sunt reduse drastic prin tehnici precum hashing-ul pe partea de client și criptarea încapsulată.

Cu hashing-ul pe partea de client, clienții care semnează calculează hash-ul datelor pe care doresc să le semneze local, apoi trimit hash-ul prin rețea către E-semnatura, care finalizează autentificarea semnăturii digitale prin aplicarea cheii private din dispozitivul criptografic la hash. Acest lucru menține datele trimise prin rețea la minimum, indiferent de dimensiunea datelor semnate.

Deși este posibil din punct de vedere tehnic ca clienții să interacționeze direct cu HSM, implementarea E-semnatura aduce câteva beneficii majore care altfel ar fi dificil de obținut.

În primul rând, E-semnatura se integrează cu toate instrumentele și platformele majore pentru a asigura o implementare rapidă și ușoară. Clienții trebuie doar să interacționeze cu E-semnatura (mai degrabă decât cu HSM), iar E-semnatura oferă o multitudine de integrări native ale clienților. Prin urmare, soluția funcționează end-to-end fără nicio activitate de dezvoltare personalizată.

În al doilea rând, deoarece clienții interacționează cu E-semnatura, devine mult mai ușor să se impună controale de securitate granulare, cum ar fi autentificarea multi-factor, autentificarea dispozitivului, gestionarea accesului privilegiat (PAM), gestionarea identității privilegiate (PIM), fluxurile de lucru pentru aprobare, notificările și multe altele, care s-ar putea să nu fie posibile doar cu HSM. E-semnatura acceptă aceste controale granulare ale accesului pentru o gamă largă de cazuri de utilizare. Politicile pot fi stabilite și aplicate pe bază de cheie sau pe utilizator cu câteva clicuri din interfața de administrare E-semnatura.

În al treilea rând, nu toate HSM-urile și managerii de chei permit acces granular la diferite chei. În unele cazuri, dacă aveți acces la un slot pe HSM, aveți acces la toate cheile private HSM de pe slotul respectiv. Cu E-semnatura, este posibilă o granularitate mai mare.

Strict vorbind, E-semnatura nu permite noi cazuri de utilizare pentru HSM. Tehnic, un HSM poate fi utilizat pentru a securiza orice cheie criptografică. Problema constă în utilizarea cheilor HSM la viteză și la scară largă din fluxurile de lucru existente, fără a fi nevoie să le exportați din HSM. Aici intervine E-semnatura.

Deoarece E-semnatura oferă toate integrările native necesare pentru clienți și asigură performanțe extrem de ridicate, devine practic să se utilizeze software-ul HSM pentru a securiza cheile pentru noi cazuri de utilizare care nu sunt de obicei considerate adecvate pentru hardware-ul criptografic HSM. Un exemplu va ajuta la ilustrarea acestui punct.

Să presupunem că începeți să stocați cheile Secure Shell (SSH) pentru a accesa serverele de producție sensibile în modulul de securitate HSM. Cum ar accesa utilizatorii finali autorizați aceste chei atunci când ar avea nevoie? Fie cheile HSM ar trebui exportate din HSM către dispozitivul utilizatorului final autorizat, ceea ce anulează scopul stocării lor în HSM de la bun început, fie întreprinderea ar trebui să construiască integrări personalizate de la clientul SSH (de exemplu, PuTTY, OpenSSH, WinSCP etc.) către HSM. Acesta din urmă este un proiect dificil, consumator de timp și costisitor. De asemenea, poate introduce vulnerabilități, deoarece un proiect de această natură nu este, în general, domeniul de expertiză al unei întreprinderi. Dacă întreprinderea dorește să impună controale granulare, cum ar fi autentificarea multi-factor (MFA) pe o flotă de servere, ar necesita instalarea manuală a modulelor de gestionare a accesului privilegiat (PAM) pe fiecare server în parte.

E-semnatura oferă o multitudine de integrări native pentru clienți și asigură, de asemenea, performanțe ridicate, astfel încât devine fezabilă stocarea cheilor criptografice pentru orice caz de utilizare în software-ul HSM fără a fi nevoie să construiți integrări HSM personalizate sau să modificați procesele existente. Deoarece clienții se autentifică la E-semnatura, aceștia pot aplica controale granulare, cum ar fi MFA și autentificarea dispozitivelor, cu doar câteva clicuri, dintr-o singură interfață.

Toate nodurile E-semnatura se implementează într-un cluster de înaltă disponibilitate. Printr-o combinație de redundanță puternică și un număr minim de date trimise prin rețea, E-semnatura oferă garanții ridicate pentru timpul de funcționare. Clienții care doresc capabilități de „spargere a geamului” pot configura GaraSign în mod corespunzător la momentul implementării.

Da, E-semnatura are un model de amenințări documentat. Contactați echipa Ghesar pentru a solicita o copie.

Da, E-semnatura oferă funcții de gestionare a ciclului de viață al certificatelor, inclusiv emitere, revocare, reînnoire, generare de CSR-uri și multe altele. Această funcționalitate este disponibilă tuturor clienților care implementează E-semnatura pentru cel puțin un caz de utilizare.