Exportação
Opção do menu principal: 5 - Export
Exporta chaves e objetos para fora do HSM. Para exportar um objeto é necessário que ele tenha o atributo de exportação habilitado. A saída normalmente vai para um arquivo e em certos casos há também opção de dump em tela.
Através da interfaces do console podem ser exportados os seguintes tipos de objetos:
Chaves simétricas
Chaves assimétricas
Outros objetos
Nas exportações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.
A indicação (local)
refere-se sempre a um nome de arquivo na estação do usuário e a indicação (hsm)
refere-se a um nome de objeto da partição do HSM.
Desde que o usuário autenticado tenha permissão de ler objetos em outra(s) partição(ões), a operação pode ser executada indicando o nome da partição e o nome do objeto com a regra de formação:
partição/objeto
Os métodos de exportação em texto claro só devem ser utilizados em ambientes altamente controlados e protegidos por outras medidas de segurança, pois o material da chave estará totalmente exposto.
Quando operando em modo Restrito estão disponíveis para exportação de chave simétrica (3DES e AES) o método com KEK RSA e para exportação de chave assimétrica (RSA ou ECC) o método PKCS#8 com derivação de chave de cifragem AES 256 por senha de 16 caracteres.
Chaves Simétricas
As chaves simétricas podem ser exportadas com os seguintes métodos:
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).
No case de a KEK ser uma chave RSA o método de envelopamento utilizado é o padrão PKCS#1 versão 2.1, com esquema de cifragem RSAES-OAEP. As chaves simétricas exportáveis no HSM são exportadas cifradas por uma chave pública. O destinatário deverá possuir a chave privada equivalente e abrir o envelope digital seguindo as regras do esquema de cifragem.
Em texto claro.
Chaves Assimétricas
As chaves assimétricas podem ser exportadas através dos métodos:
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).
PKCS#1; a chave pública e/ou privada RSA é exportada em texto claro com encoding DER. No caso de exportação de chave privada o formato do arquivo de saída será o ASN.1 definido no padrão PKCS#1 v1.5, na seção 7.1. Na exportação da chave pública o arquivo de saída conterá a representação da seção 7.2.
Chave privada:
Chave pública:
PKCS#8; nesta opção a chave privada assimétrica (RSA ou ECC/ECDSA) pode ser exportada em texto claro ou protegida por envelope digital. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs.
No modo de operação restrito as chaves assimétricas exportáveis só podem ser exportadas via o padrão PKCS#8 com uso de envelope digital, derivando uma chave AES 256 a partir de uma senha de exatos 16 (dezesseis) caracteres, sendo a derivação feita conforme o padrão PKCS#5 versão 2.0.
PKCS#12; são exportados o certificado e a chave privada correspondente em um bundle com um esquema de transporte PKCS#12 em texto claro ou protegida por criptografia derivada de uma senha definida pelo usuário. Normalmente os arquivos são criados com extensão
.pfx
ou.p12
.
Certificados, Cadeias e Arquivos
Em Certificate / PKCS#7 / File podem ser exportados:
Certificado: o objeto indicado deve ser um certificado X.509;
Cadeias de certificado padrão PKCS#7: o objeto indicado deve ser uma cadeia de certificados X.509;
File: objetos opacos para o HSM, interpretado apenas como uma sequência de bytes.
Menu Export
Exportação chaves assimétricas em padrão PKCS#8
Last updated