Autorização de Partição
Permite a alteração de estado nas partições configuradas para autenticação M de N.
O estado das partições pode ser alterado para fazer a associação com um conjunto de cartões e também para fazer a autorização de uma partição já associada.
As chaves criptográficas podem ser criadas enquanto a partição está num estado não autorizado e podem ser utilizadas efetivamente quando a autorização é concedida.
Após indicar o id da partição (é o mesmo id do usuário), será mostrada uma tela informando o estado atual da partição, as permissões atualmente configuradas e opções que permitem fazer as mudanças de estado.
As ações possíveis com as chaves da partição são definidas em função das permissões habilitadas e do estado. Por exemplo, a permissão Key Export pode estar habilitada, mas uma chave (exportável) da partição só poderá ser exportada quando esta estiver no estado de Associated, Authorized. A tabela a seguir mostra as ações possíveis conforme o estado e a permissões.
Para a mudança de estado é necessário apresentação do conjunto de cartões do conjunto M de N e informar a credencial de senha da partição.
Info
Se o HSM fizer parte de um Domínio de Replicação, a alteração de estado na partição será replicada aos demais nós.
O serviço precisa estar rodando durante a mudança de estado.
As permissões possíveis para a partição são:
- Key Read: implícita, não pode ser alterada;
- Key Export: permite a exportação das chaves, desde que tenham o atributo exportável;
- Key Destroy: permite que as chaves sejam destruídas;
- Key Block: permite o bloqueio das chaves, impedindo sua utilização, mesmo quando autorizadas;
- Partition Remove: permite a remoção completa da partição e destruição de todas as chaves ali contidas, e inclui a permissão Key Destroy;
As ações permitidas e autorizadas para as chaves são executadas via API ou console remota.
A figura abaixo ilustra as transições de estado.
---
title: Transições de estado na autorização de partições
---
%%{ init: { 'flowchart': { 'curve': 'basis' } } }%%
stateDiagram-v2
state "Not Associated, Not Authorized<br><center><small><small>-Geração de chaves" as na_na
state "Associated, Not Authorized<br><center><small><small>-Geração de chaves<br>-Bloqueio de chaves<br>-Destruição de chaves<br>-Remoção da Partição" as a_na
state "Associated, Authorized<br><center><small><small>-Operações com as chaves<br>-Exportação das chaves" as a_a
na_na --> a_na: <center><small>card<br>set<br>
a_na --> a_a: <center><small>card<br>set
a_a --> a_na: <center><small>card<br>set
a_na --> na_na: <center><small>card<br>set
a_a --> a_a: <small><center><small>card<br>set<br><br>(Para mudança<br>nas permissões)
A tabela abaixo mostra as ações possíveis e as condições necessárias (estado e permissões) que para que sejam executadas com sucesso.
Aviso
O estado da partição é mantido entre reboots do HSM.
| Ação | Estado da partição | Permissão necessária habilitada |
|---|---|---|
| Geração de chaves | Not Associated, Not Authorized ou Associated, Not Authorized | - |
| Bloqueio de chaves | Associated, Not Authorized | Key Block |
| Destruição de chaves | Associated, Not Authorized | Key Destroy |
| Remoção completa da partição | Associated, Not Authorized | Partition Remove (destroy all keys) |
| Exportação de chaves | Associated, Authorized | Key Export |
| Utilização de chaves (criptografia) | Associated, Authorized | - |
