Pular para conteúdo

Licença

Introdução

A partir da versão 6.0.0.0 o HSM opera utilizando um mecanismo de licenciamento.

As licenças habilitam certas capacidades do HSM, classificadas nos seguintes tipos:

  • funcionalidade (habilitação de módulos especialistas, como Pix, Blockchain etc);
  • quantitativa (número de chaves, número de conexões etc);
  • desempenho (transações por segundo).

O HSM é despachado da fábrica sem licenças instaladas. No processo de ativação do HSM o operador deve fazer o upload daquelas recebidas.

Normalmente as licenças são emitidas por número de série de HSM. Fisicamente são arquivos com extensão .lpack cifrados e assinados digitalmente, e são enviados ao cliente em canal separado (geralmente por e-mail) para as pessoas estabelecidas em contrato ou na fase de entrega.

Antes da instalação da licença o HSM tem um funcionamento bastante restrito; suficiente para uma conexão de operador e o upload. A ativação é imediata, não há necessidade de reboot ou parada de serviço para que uma licença válida seja reconhecida. O processo é feito através da console GUI remota (via browser), portanto o HSM já deve estar com as configurações de rede prontas e com o serviço iniciado.

Quanto ao escopo, as licenças podem ser dos seguintes tipos:

  • OEM: apenas o fabricante pode remover ou alterar (são prefixadas com @);
  • Regular: o operador consegue remover via console (são prefixadas com +).

Quanto ao período de validade podem ser:

  • perpétuas;
  • com data de expiração (são prefixadas com =).

As licenças de desempenho são controladas por grupos de nível de segurança (security level), por exemplo a licença de chave rsa2k controla o número de transações por segundo de qualquer chave RSA de até 2048 bits.

Licenças disponíveis

Atualmente está disponível a seguinte lista:

O * nos termos a seguir é substituído pelo valor específico na licença emitida.

  1. Funcionalidades: habilita módulos especialistas e funções específicas.

    • module-xml-dsig: habilita o módulo XML Sign.
    • module-spb: habilita o módulo SPB.
    • module-eft: habilita o módulo EFT.
    • module-eft-direct: habilita o módulo EFT Direct.
    • module-tsp: habilita o módulo TSP (Time Stamping).
    • module-pix: habilita o módulo Pix.
    • module-svault: habilita o módulo SVault.
    • module-blockchain: habilita o módulo Blockchain.
    • module-safekeeping: habilita o módulo Safe Keeping.
    • disclosed-key-gen :
    • firmware-update: habilita atualização de firmware.
    • cloud-telemetry: habilita telemetria para nuvem da Dinamo.

  2. Quantitativas

    • db-*-objects: define a quantidade máxima de objetos que podem ser criados na base do HSM (chaves, certificados etc); inclui objetos persistentes e temporários.
    • db-*-partitions: define a quantidade máxima de partições que podem ser criadas.
    • max-*-connections: define a quantidade máxima de conexões no HSM (sessões simultâneas).

  3. Desempenho: transações por segundo (tps).

    • sym128-*-tps: máximo tps com chaves simétricas de 128 bits
    • sym192-*-tps: máximo tps com chaves simétricas de 192 bits
    • sym256-*-tps: máximo tps com chaves simétricas de 256 bits
    • rsa2k-*-tps: máximo tps com chaves RSA 2048 bits
    • rsa3k-*-tps: máximo tps com chaves RSA 3072 bits
    • rsa4k-*-tps: máximo tps com chaves RSA 4096 bits
    • rsa8k-*-tps: máximo tps com chaves RSA 8192 bits
    • ecc256-*-tps: máximo tps com chaves EC de 256 bits
    • ecc384-*-tps: máximo tps com chaves EC de 384 bits
    • ecc512-*-tps: máximo tps com chaves EC de 512 bits
    • ml-dsa44-*-tps: máximo tps com chaves PQC ml-dsa44
    • ml-dsa65-*-tps: máximo tps com chaves PQC ml-dsa65
    • ml-dsa87-*-tps: máximo tps com chaves PQC ml-dsa87
    • ml-kem512-*-tps: máximo tps com chaves PQC ml-kem512
    • ml-kem768-*-tps: máximo tps com chaves PQC ml-kem768
    • ml-kem1024-*-tps: máximo tps com chaves PQC ml-kem1024
    • slh-dsa1-*-tps: máximo tps com chaves PQC slh-dsa1
    • slh-dsa3-*-tps: máximo tps com chaves PQC slh-dsa3
    • slh-dsa5-*-tps: máximo tps com chaves PQC slh-dsa5

Novas modaludades poderão ser acrescentadas neste rol ao longo do tempo.

Em alguns casos uma licença administrativa especial (full lic) pode ser usada para habilitar todas as capacidades do equipamento (ela é identificada por um GUID específico).

Instalação

O procedimento com os passos para instalação das licenças está disponível no tópico Instalação de Licenças.