Desde que o usuário autenticado tenha permissão de ler objetos em outra(s) partição(ões) a operação pode ser executada, indicando o nome da partição e o nome do objeto com a regra de formação:
partição/objeto
Ações
Há um menu de Ações possíveis sobre o objeto, exibido abaixo da lista de atributos. O menu varia conforme o tipo de objeto.
No caso de chaves RSA ou ECC é possível gerar um CSR (Certificate Signing Request) PKCS#10 nas opções do menu de Ações, ver detalhes abaixo.
Grupos de Atributos
Os atributos são exibidos agrupados.
Comuns
São os atributos de operação, comuns a todos os objetos:
Type: tipo.
Temporary: determina se o objeto será automaticamente destruído ao final de sessão de operação.
Exportable: determina se o objeto pode ser exportado do HSM.
Encrypted: todos os objetos no HSM são armazenados criptografados.
Blocked: determina se o objeto está bloqueado para operações criptográficas.
SP 800-57-1
É o estado do objeto conforme a especificação SP 800-57-1 (NIST Special Publication 800-57 Part 1 Revision 5, Recommendation for Key Management: Part 1 – General). Este estado é um atributo intrínseco do objeto, não importando o meio ou API pelo qual ele é manipulado.
São exibidas também a máscara de propósitos criptográficos e as datas de transição de estado durante o ciclo de vida do objeto.
Os estados são:
Pre-Active
Active
Deactivated
Compromised
Destroyed
Destroyed Compromised
A imagem a seguir ilustra os estados e as transições possíveis.
Mudanças no relógio do HSM podem afetar o atributo de estado. Por exemplo se um objeto tem data de ativação posterior à data atual do HSM, o estado será PRE-ACTIVE, o que impede operações criptográficos com o objeto.
Específicos
São os atributos específicos de cada tipo, incluindo o tamanho do material criptográfico.
PKCS#11
São os atributos utilizados principalmente pela API PKCS#11, mas estão disponíveis para qualquer aplicação e/ou chamador. Alguns destes atributos são de livre atribuição do usuário, como por exemplo o CKA_LABEL e CKA_APPLICATION, mas outros são de propósitos internos do HSM, como por exemplo o tipo, o identificador e o material criptográfico. Para mais detalhes sobre a API de integração PKCS#11 consulte o tópico PKCS#11.
Todos os atributos são consistentes entre os grupos, quando há superposição. Uma mudança em um atributo de um grupo é refletida imediatamente nos atributos equivalentes dos demais grupos.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Keys/Objects - Attributes
Name (HSM) : myRSA
Type : rsa2048
Temporary : no
Exportable : no
Encrypted : yes
Blocked : no
State : ACTIVE
Mask : SIGN, DECRYPT, CERTIFICATE_SIGN, CRL_SIGN
Initial date : 2022-01-12 00:54:54 GMT
Activation date : 2022-01-12 00:54:54 GMT
Archive date : none
Compromise date : none
Compromise occurrence date : none
Deactivation date : none
Last change date : 2022-01-12 00:54:54 GMT
Original creation date : 2022-01-12 00:54:54 GMT
Process start date : none
Protect stop date : none
Public exponent(hex) : 010001
Key size : 2048 bits
CKA_KEY_TYPE : 0
CKA_CLASS : 3
CKA_EXTRACTABLE : no
CKA_SENSITIVE : yes
CKA_NEVER_EXTRACTABLE : yes
CKA_LOCAL : yes
CKA_CERTIFICATE_TYPE : 0
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
CKA_PUBLIC_EXPONENT : 010001
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
CKA_EC_PARAMS :
CKA_SUBJECT :
CKA_ISSUER :
CKA_SN :
CKA_TOKEN : yes
CKA_MODIFIABLE : yes
CKA_MODULUS_BITS : 2048
CKA_PRIVATE : yes
CKA_DERIVE : no
CKA_WRAP : no
CKA_UNWRAP : yes
CKA_SIGN : yes
CKA_VERIFY : yes
CKA_ENCRYPT : no
CKA_DECRYPT : yes
CKA_OBJECT_ID :
HSM_OBJ_VERSION : 2
HSM_OBJ_TYPE : 6
HSM_OBJ_ATTR : 0
HSM_OBJ_LEN : 1461
HSM_OBJ_ID : master/myRSA
HSM_OBJ_PVALUE : 62E90C37DDBCD46D50CBEAB3FAAD3DC50E1C0665
CKA_LABEL :
CKA_ID :
CKA_SIGN_RECOVER : no
CKA_VERIFY_RECOVER : no
CKA_APPLICATION :
CKA_TRUSTED : no
CKA_JMIDP_SEC_DOMAIN : 0
CKA_CERT_CATEGORY : 0
CKA_KEY_GEN_MECHANISM : 0
CKA_WRAP_WITH_TRUSTED : no
HSM_ASSOCIATE :
Actions:
1 - Block
2 - Edit Metadata
3 - PKCS#10 CSR
0 - Main Menu
Option :
Block
Ao efetuar o bloqueio de uma chave, alterando o seu atributo block para true, ela não poderá ser utilizada. Para chaves bloqueadas o opção muda para Unblock.
Edit Metadata
Alguns metadados, como Label PKCS#11, podem ser editados para uso pelas aplicações. Estes metadados editáveis não afetam o material da chave e nem os controles de acesso.
Emissão de CSR
Opção disponível apenas para chaves privadas (RSA e ECC).
Permite a emissão de uma requisição de certificado, CSR (Certificate Signing Request), gerados a partir da assinatura com uma chave privada, para ser enviado a uma Autoridade Certificadora, que fará e emissão do certificado correspondente. O padrão é o PKCS#10. A CSR gerada pode ser gravada em arquivos ou exibida em tela.
Os campos no DN (Distinguished Name) X.509 devem ser precedidos de /, conforme representação definida na RFC 1779. Separação por , não é aceita.
