Importação
Opção do menu principal: 4 - Import
Importa chaves e objetos para dentro da partição do usuário. A importação é sempre feita a partir de um arquivo na estação, ou em alguns casos, por entrada manual do usuário.
Através da interfaces do console podem ser importados os seguintes tipos de objetos:
Chaves simétricas: chaves tipo DES, 3DES e AES.
Chaves assimétricas: chave tipo RSA e ECC.
Outros objetos: certificados e cadeias.
O objeto importado segue as mesmas regras de criação de objetos (consulte o tópico Criação).
A indicação (local) refere-se sempre a um nome de arquivo na estação do usuário e a indicação (hsm) refere-se a um nome de objeto da partição do HSM.
Desde que o usuário autenticado tenha permissão de criar objetos em outra(s) partição(ões), a operação pode ser executada indicando o nome da partição e o nome do objeto com a regra de formação:
partição/objeto
Quando operando em modo restrito estão disponíveis para importação de chave simétrica (3DES e AES) o método com KEK RSA e para importação de chave assimétrica (RSA ou ECC) o método PKCS#8 com derivação de chave de cifragem AES 256 por senha de 16 caracteres.
Nas operações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.
Chaves Simétricas
As chaves simétricas podem ser importadas com os seguintes métodos:
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).
No case de a KEK ser uma chave RSA o método de envelopamento esperado é o padrão PKCS#1 versão 2.1, com esquema de cifragem RSAES-OAEP. O usuário deve possuir na sua partição a chave privada equivalente à chave pública de origem que fechou o envelope.
Em texto claro.
Chaves Assimétricas
As chaves assimétricas podem ser importadas para o HSM através dos métodos:
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).
PKCS#1; a chave pública e/ou privada RSA é importada em texto claro com encoding DER. No caso de chave privada o formato do arquivo deverá ser o ASN.1 definido no padrão PKCS#1 v1.5, na seção 7.1. No caso de chave pública o arquivo deverá conter a representação da seção 7.2.
PKCS#8; nesta opção a chave privada (RSA ou ECC/ECDSA) pode ser importada em texto claro ou protegida por envelope digital. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs.
No modo restrito as chaves RSA só podem ser importadas via o padrão PKCS#8 com uso de envelope digital, derivando uma chave AES 256 a partir de uma senha de no mínimo 01 caractere, sendo a derivação feita conforme o padrão PKCS#5 versão 2.0.
PKCS#12; é importado o certificado e a chave privada correspondente contidos num arquivo PKCS#12 (normalmente arquivos com extensão .pfx ou .p12, protegidos por criptografia derivada de uma senha) para dentro do HSM; a chave e o certificado são importados como objetos independentes, podendo ser posteriormente removidos separadamente sem interferir um no outro. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs
Protegidas por chave pública cuja chave privada equivalente existe na partição do usuário.
Certificados, Cadeias e Arquivos
Em Outros Objetos podem ser importados os seguintes tipos de objetos:
Certificado: o arquivo indicado deve ser um certificado X.509, como por exemplo um certificado padrão ICP-Brasil;
Cadeias de certificado padrão PKCS#7: o arquivo indicado deve ser uma cadeia de certificados X.509;
File: objetos opacos para o HSM, interpretado como apenas uma sequência de bytes. O HSM sempre vai tentar identificar o tipo do objeto importado, portanto caso o arquivo indicado seja por exemplo um certificado X.509, uma CRL ou uma cadeia de certificados padrão PKCS#7 válidos (arquivos em formato BASE64 ou DER), o HSM identificará o tipo e indicará nos atributos do objeto o tipo correto.
Menu Import
Importação de chave assimétrica usando arquivo PKCS#12
Last updated