为了能在高安全的环境中与合作伙伴传输处理各类电子文件信息,FDA推出了ESG解决方案用于接收、处理电子监管信息。FDA ESG遵循安全传输协议标准,要求ESG账户在提交电子信息过程中必须使用数字证书保证通信安全。
关于ESG
Electronic Submissions Gateway简称ESG,是一个具有高扩展性、高性能且方便使用的安全网关,能够让ESG账户安全提交药企产品相关的申报资料。此外,ESG是FDA安全接收处理所有电子信息的唯一入口,同时也方便FDA自动处理这些监管信息。
FDA规定:所有ESG账户必须使用数字证书保证通信安全,而数字证书须包含注册ESG账户时使用的全名或正确的电子邮件地址。
ESG系统要求使用密钥长度为1024位、2048位或3072位的数字证书,不接受其他密钥长度,如512或4096位。
什么是数字证书
数字证书是符合国际电信联盟X.509规范的电子文件。这个文件通常包含证书所有者信息、公钥、证书有效期、证书的序列号以及颁发者的名称和数字签名。数字证书将所有者信息和可用于加密和数字签名的密钥对绑定在一起。
使用数字证书对文档进行加密和数字签名有以下保障:
- 保证文件的完整性。只有收件人才能阅读邮件,未经授权的用户无法查阅邮件信息。
- 防止邮件被第三方篡改。邮件经加密后他人无法更改、添加或删除数据。
- 数字签名功能可对发件人进行身份验证,让收件人确认接收到真实发件人的签名邮件,防止被钓鱼。
- 不可否认性。数字签名让发送方不能否认他们没有发送过邮件,也可以让收件人不能否认未收到邮件。
- ESG账户必须使用数字证书,且证书中须包含注册ESG账户时使用的全名或电子邮件地址。
数字证书认证
FDA证书中的公钥用于加密要传输的文件。FDA ESG使用公钥验证从指定来源收到的文件的数字签名。
在与FDA ESG发送加密和签名的文件之前,必须进行证书交换以获取对方的证书公钥。接收文件的双方都需要获取基于公钥基础设施(PKI)生成的证书,这种数字证书可以通过生成自签名证书获得,也可以直接从证书颁发机构获取。私钥将永远保存在各自的计算机上,公钥和证书则需要在注册过程中提供给FDA ESG。
注册模块不接受的证书
如果在ESG注册时存在有效证书不被接受,并被识别为无效的情况时,请将证书文件压缩并通过电子邮件发送给FDA ESG管理员,电子邮件地址为ESGHelpDesk@fda.hhs.gov。FDA收到后,将尽快验证该证书并及时做出回复。
FDA ESG不接受的证书
FDA ESG不接受在颁发者或主体字段中包含空白数据的证书。由于网关软件存在缺陷,这种证书会导致FDA 电子提交文件失败。另外,自提交FDA ESG之日起,锁提供的数字证书有效期至少为一年。请注意,此要求同样适用于测试中和生产中的ESG系统。
获取证书途径
FDA ESG仅支持以公钥基础设施(PKI)结构为基础的X.509证书,以此来保障安全的网路通信。PKI是一个组件系统,它使用数字证书和公开密钥机制来保护交易和通信。
PKI系统中可分为自签名,私有和公共PKI。不论选择哪类PKI都应考虑到各种因素,例如成本,人力和系统资源,以及所需的安全程度或复杂程度。PKI能建立可信的数字身份,这少不了证书颁发机构(CA)的参与。CA除了可生成证书之外,还需要根据既定的政策和程序验证申请者身份。私有和公共PKI就属于这种情况。
自签名证书
用户可自己创建自签名证书,自签名证书最大的优点是方便,成本低;最大的缺点是高风险,因为自签名无需经第三方验证身份。
企业生成、使用自签名证书时,通信双方必须相互验证证书并建立直接信任。可信任的身份一旦建立,包含信任锚的证书就会存储在本地信任列表中。FDA ESG 有一个本地信任列表,用于存储和管理已建立的信任关系。像存储在Web浏览器中的CA证书一样,FDA ESG也存储公共CA证书列表。虽然自签名证书很方便,但这种预先就已建立的信任可能无法满足每个企业的安全策略。FDA ESG明确要求AS2(网关到网关)用户不能使用自签名证书。
私有PKI
尽管私有PKI对企业安全策略和程序实现完全控制成为可能,但也同时承担建立、维护私有PKI的管理和成本负担。因为私有PKI设置复杂,花费成本高,如果企业没有熟练的技术人员对其进行后期维护,建议使用公共PKI。
公共PKI
公共PKI即通过第三方证书颁发机构CA或服务商购买X.509证书。与自签名证书相比,CA颁发的证书安全性更高,不易被恶意攻击者拦截或遭受中间人攻击。与私有PKI证书部署相比,直接从CA或其代理服务商购买证书更易于部署,管理更加方便。
以下是FDA支持的可用于身份认证的数字证书品牌:(包括但不仅限于以下品牌)
- Digicert
- Globalsign
- Sectigo
- sslTrus
与FDA ESG一起使用的数字证书的最低要求是个人客户端证书(即邮件安全证书)。上述数字证书品牌列表均符合FDA ESG要求,可在锐成信息选择所需邮件安全证书申请、验证并获取证书后即可将邮件证书导入到ESG账户上。
如何在ESG账户上更新数字证书
1. 从锐成信息平台获取可信数字证书。
2. 将公钥用邮件发送至 ESGHelpDesk@fda.hhs.gov,并提供以下信息 :
- 主账户持有人姓名
- ESG账户名称
3. 最后您将收到ESG的确认邮件,通知您的公钥已上传。请注意,如果您更改公钥后,在ESG提交时也应使用相匹配的私钥。
小结
总的来说,国内药企想要获得FDA认证,必须使用数字证书提交申报信息,通过数字签名和公钥加密技术有效保护各类文档信息的真实性、完整性和有效性。
原文链接https://www.racent.com/blog/fda-esg-require-digital-certificates-for-secure-communication