Criação

Opção do menu principal: Create

Cria novos usuários no HSM. Os usuários podem ser de dois tipos, de acordo com as permissões que recebem: User e Operator. O tipo Operator tem todas as permissões de sistema. O tipo User tem apenas as permissões de sistema que foram dadas.

A criação de um novo usuário implica na criação da correspondente partição (referenciado pelo próprio nome do usuário).

Os atributos solicitados para a criação de um novo usuário são:

  1. Tipo: User (usuário regular) ou Operator (administrador do HSM).

  2. Nome (User ID): identifica única e globalmente o usuário no HSM, é também o nome que identifica a partição deste usuário perante outros usuários; pode ter até 16 caracteres e podem ser usados exclusivamente caracteres alfanuméricos (conjunto a-zA-Z0-9). Os caracteres sublinhado (_) e traço (-) não podem ser utilizados. Esta identificação dos usuários é sensível à caixa (case-sensitive), ou seja, há diferenciação entre caracteres maiúsculos e minúsculos.

  3. Senha: senha para autenticação no HSM; deve ter no mínimo 08 caracteres.

  4. Autorização por esquema M de N: configura a partição para exigir autorização usando cartões em esquema M de N. A associação da partição com um conjunto específico de cartões e a autorização para uso das chaves da partição são feitas através da console local do HSM, usando a leitora de cartões do HSM. A utilização e o gerenciamento das chaves (criação, exportação, bloqueio, destruição) será conforme o estado da partição e as permissões habilitadas na console de gerência local do HSM.

  5. Permissões: define as permissões de sistema do usuário.

As permissões do usuário sobre a própria partição são implícitas e não revogáveis, portanto não precisam ser definidas. Na criação da partição nenhuma permissão sobre sua partição é dada para outro usuário ou administrador do HSM. Estas devem ser dadas explicitamente e pelo próprio usuário.

Criação de usuário
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Users - Create

Type:
 1 - User
 2 - Operator (all permissions enabled)
Option : 1

User ID: keyadm
Password: ********
Confirm password: ********

Require Authorization on Local Console with M of N Scheme (y/[n]):

Authorization on Local Console with M of N Scheme disabled.

Require Two Factor Authentication (y/[n]):

Require User to Change Password at Next LogOn (y/[n]):

System permissions:
Create/Remove Users (y/[n]):
List Users (y/[n]):
Monitor Remote Log (y/[n]):
Backup/Restore (y/[n]):
Firmware Update (y/[n]):


User 'keyadm' successfully created.

Press ENTER key to continue...

Na criação de um usuário tipo Operator, todas as permissões são atribuídas.

Criação de um usuário operador
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Users - Create

Type:
 1 - User
 2 - Operator (all permissions enabled)
Option : 2

User ID: keyop
Password: ********
Confirm password: ********

Require Authorization on Local Console with M of N Scheme (y/[n]):

Authorization on Local Console with M of N Scheme disabled.

Require Two Factor Authentication (y/[n]):

Require User to Change Password at Next LogOn (y/[n]):


User 'keyop' successfully created.

Press ENTER key to continue...

Partição com autorização por esquema M de N

Os passos para a criação de um usuário com partição

  1. Criar um usuário/partição habilitando a flag de autorização de partição via M de N;

  2. Abrir uma sessão com o usuário e criar as chaves na partição. As chaves podem ser criadas mas não poderão ser utilizadas ainda, antes da autorização;

  3. Criar um conjunto de cartões M de N para autorização de partição. É preciso definir o tamanho do conjunto (N) e o número de cartões exigidos do conjunto para a autorização (M), como por exemplo 2 de 2, 2 de 4, 3 de 5, 4 de 12, etc. Este passo é realizado na console local.

  4. Associar o conjunto ao usuário/partição criado. Este passo é realizado na console local.

  5. Autorizar o uso das chaves para operações de criptografia da partição do usuário utilizando o conjunto de cartões M de N. Este passo é realizado na console local.

  6. Abrir uma sessão com o usuário e testar a utilização das chaves existentes (por exemplo com a opção de testes da console remota). As chaves existentes podem ser utilizadas, e novas chaves não podem ser criadas enquanto a partição estiver no estado autorizado. (console remotaI).