為了能在高安全的環(huán)境中與合作伙伴傳輸處理各類電子文件信息，F(xiàn)DA推出了ESG解決方案用于接收,、處理電子監(jiān)管信息,。FDA ESG遵循安全傳輸協(xié)議標準，要求ESG賬戶在提交電子信息過程中必須使用數(shù)字證書保證通信安全,。

關于ESG

Electronic Submissions Gateway簡稱ESG,，是一個具有高擴展性、高性能且方便使用的安全網(wǎng)關,，能夠讓ESG賬戶安全提交藥企產(chǎn)品相關的申報資料,。此外，ESG是FDA安全接收處理所有電子信息的唯一入口,，同時也方便FDA自動處理這些監(jiān)管信息,。

FDA規(guī)定：所有ESG賬戶必須使用數(shù)字證書保證通信安全，而數(shù)字證書須包含注冊ESG賬戶時使用的全名或正確的電子郵件地址,。

ESG系統(tǒng)要求使用密鑰長度為1024位,、2048位或3072位的數(shù)字證書，不接受其他密鑰長度,，如512或4096位。

什么是數(shù)字證書

數(shù)字證書是符合國際電信聯(lián)盟X.509規(guī)范的電子文件,。這個文件通常包含證書所有者信息,、公鑰、證書有效期,、證書的序列號以及頒發(fā)者的名稱和數(shù)字簽名,。數(shù)字證書將所有者信息和可用于加密和數(shù)字簽名的密鑰對綁定在一起。

使用數(shù)字證書對文檔進行加密和數(shù)字簽名有以下保障：

•   保證文件的完整性,。只有收件人才能閱讀郵件,，未經(jīng)授權(quán)的用戶無法查閱郵件信息。

•   防止郵件被第三方篡改,。郵件經(jīng)加密后他人無法更改,、添加或刪除數(shù)據(jù),。

•    數(shù)字簽名功能可對發(fā)件人進行身份驗證，讓收件人確認接收到真實發(fā)件人的簽名郵件,，防止被釣魚,。

•   不可否認性。數(shù)字簽名讓發(fā)送方不能否認他們沒有發(fā)送過郵件,，也可以讓收件人不能否認未收到郵件,。

•   ESG賬戶必須使用數(shù)字證書，且證書中須包含注冊ESG賬戶時使用的全名或電子郵件地址,。

  （證書所有者需與ESG賬戶名稱或郵件地址一致）

數(shù)字證書認證

FDA證書中的公鑰用于加密要傳輸?shù)奈募?。FDA ESG使用公鑰驗證從指定來源收到的文件的數(shù)字簽名。

在與FDA ESG發(fā)送加密和簽名的文件之前,，必須進行證書交換以獲取對方的證書公鑰,。接收文件的雙方都需要獲取基于公鑰基礎設施（PKI）生成的證書，這種數(shù)字證書可以通過生成自簽名證書獲得,，也可以直接從證書頒發(fā)機構(gòu)獲取,。私鑰將永遠保存在各自的計算機上，公鑰和證書則需要在注冊過程中提供給FDA ESG,。

注冊模塊不接受的證書

如果在ESG注冊時存在有效證書不被接受,，并被識別為無效的情況時，請將證書文件壓縮并通過電子郵件發(fā)送給FDA ESG管理員,，電子郵件地址為[email protected],。FDA收到后，將盡快驗證該證書并及時做出回復,。

FDA ESG不接受的證書

FDA ESG不接受在頒發(fā)者或主體字段中包含空白數(shù)據(jù)的證書,。由于網(wǎng)關軟件存在缺陷，這種證書會導致FDA 電子提交文件失敗,。另外,，自提交FDA ESG之日起，鎖提供的數(shù)字證書有效期至少為一年,。請注意,，此要求同樣適用于測試中和生產(chǎn)中的ESG系統(tǒng)。

獲取證書途徑

FDA ESG僅支持以公鑰基礎設施（PKI）結(jié)構(gòu)為基礎的X.509證書,，以此來保障安全的網(wǎng)路通信,。PKI是一個組件系統(tǒng)，它使用數(shù)字證書和公開密鑰機制來保護交易和通信,。

PKI系統(tǒng)中可分為自簽名,，私有和公共PKI。不論選擇哪類PKI都應考慮到各種因素，例如成本,，人力和系統(tǒng)資源,，以及所需的安全程度或復雜程度。PKI能建立可信的數(shù)字身份,，這少不了證書頒發(fā)機構(gòu)（CA）的參與,。CA除了可生成證書之外，還需要根據(jù)既定的政策和程序驗證申請者身份,。私有和公共PKI就屬于這種情況,。

自簽名證書

用戶可自己創(chuàng)建自簽名證書，自簽名證書最大的優(yōu)點是方便,，成本低,；最大的缺點是高風險，因為自簽名無需經(jīng)第三方驗證身份,。

企業(yè)生成,、使用自簽名證書時，通信雙方必須相互驗證證書并建立直接信任,?？尚湃蔚纳矸菀坏┙ⅲ湃五^的證書就會存儲在本地信任列表中,。FDA ESG 有一個本地信任列表,，用于存儲和管理已建立的信任關系。像存儲在Web瀏覽器中的CA證書一樣,，F(xiàn)DA ESG也存儲公共CA證書列表,。雖然自簽名證書很方便，但這種預先就已建立的信任可能無法滿足每個企業(yè)的安全策略,。FDA ESG明確要求AS2（網(wǎng)關到網(wǎng)關）用戶不能使用自簽名證書,。

私有PKI

盡管私有PKI對企業(yè)安全策略和程序?qū)崿F(xiàn)完全控制成為可能，但也同時承擔建立,、維護私有PKI的管理和成本負擔,。因為私有PKI設置復雜，花費成本高,，如果企業(yè)沒有熟練的技術人員對其進行后期維護,，建議使用公共PKI。

公共PKI

公共PKI即通過第三方證書頒發(fā)機構(gòu)CA或服務商購買X.509證書,。與自簽名證書相比，CA頒發(fā)的證書安全性更高,，不易被惡意攻擊者攔截或遭受中間人攻擊,。與私有PKI證書部署相比，直接從CA或其代理服務商購買證書更易于部署，管理更加方便,。

以下是FDA支持的可用于身份認證的數(shù)字證書品牌：（包括但不僅限于以下品牌）

•   Digicert

•  Globalsign

•  Sectigo

•   sslTrus

與FDA ESG一起使用的數(shù)字證書的最低要求是個人客戶端證書（即郵件安全證書）,。上述數(shù)字證書品牌列表均符合FDA ESG要求，可在銳成信息選擇所需郵件安全證書申請,、驗證并獲取證書后即可將郵件證書導入到ESG賬戶上,。

如何在ESG賬戶上更新數(shù)字證書

1. 從銳成信息平臺獲取可信數(shù)字證書。

2. 將公鑰用郵件發(fā)送至 [email protected],，并提供以下信息 ：

•   主賬戶持有人姓名

•   ESG賬戶名稱

3. 最后您將收到[email protected]的確認郵件,，通知您的公鑰已上傳。請注意,，如果您更改公鑰后,，在ESG提交時也應使用相匹配的私鑰。

小結(jié)

總的來說,，國內(nèi)藥企想要獲得FDA認證,，必須使用數(shù)字證書提交申報信息，通過數(shù)字簽名和公鑰加密技術有效保護各類文檔信息的真實性,、完整性和有效性,。

原文鏈接：https://www./blog/fda-esg-require-digital-certificates-for-secure-communication