Autorização de Partição
Permite a alteração de estado nas partições configuradas para autenticação M de N.
O estado das partições pode ser alterado para fazer a associação com um conjunto de cartões e também para fazer a autorização de uma partição já associada.
As chaves criptográficas podem ser criadas enquanto a partição está num estado não autorizado e podem ser utilizadas efetivamente quando a autorização é concedida.
Após indicar o id da partição (é o mesmo id do usuário), será mostrada uma tela informando o estado atual da partição, as permissões atualmente configuradas e opções que permitem fazer as mudanças de estado.
As ações possíveis com as chaves da partição são definidas em função das permissões habilitadas e do estado. Por exemplo, a permissão Key Export pode estar habilitada, mas uma chave (exportável) da partição só poderá ser exportada quando esta estiver no estado de Authorized. A tabela abaixo mostra as ações possíveis conforme o estado e a permissões.
Para a mudança de estado é necessário apresentação do conjunto de cartões do conjunto M de N e informar a credencial de senha da partição.
Info
Se o HSM fizer parte de um Domínio de Replicação, a alteração de estado na partição será replicada aos demais nós.
A partir da versão 5.3.0.0 do firmware é possível fazer a mudança de estado online, usando uma das consoles do HSM ou via API. É necessário que a estação do usuário tenha o software cliente do HSM instalado e um leitora de smart card certificada plugada (consulte o tópico Gerência Remota), além da presença dos custodiantes dos cartões da partição. Na operação remota há um estado exclusivo para a sessão específica na qual o usuário está conectado ao HSM: Session Authorized. A mudança para este estado não é refletida nas demais sessões e nem no estado local da partição no HSM. O estado Authorized pode ser setado online se a política correspondente estiver habilitada.
O serviço precisa estar rodando durante a mudança de estado.
As permissões possíveis para a partição são:
- Key Read: implícita, não pode ser alterada;
- Key Export: permite a exportação das chaves, desde que tenham o atributo exportável;
- Key Destroy: permite que as chaves sejam destruídas;
- Key Block: permite o bloqueio das chaves, impedindo sua utilização, mesmo quando a1. rizadas;
- Partition Remove: permite a remoção completa da partição e destruição de todas as chaves ali contidas, e inclui a permissão Key Destroy;
As ações permitidas e autorizadas para as chaves são executadas via API ou console remota.
A figura abaixo ilustra as transições de estado.
---
title: Transições de estado na autorização de partições via API
---
%%{ init: { 'flowchart': { 'curve': 'basis' } } }%%
stateDiagram-v2
state "Initial" as initial
state "Associated" as associated
note left of associated
Set Permissions
end note
state "Authorized" as authorized
note left of authorized
Set Permissions
end note
note right of authorized
Set online if Policy
end note
state "Session Authorized" as e_auth
note left of e_auth
Online only
end note
classDef KeyUsage fill:darkgreen
classDef KeyBlocked fill:darkred
classDef movement font-style:italic
classDef badBadEvent fill:#f00,color:white,font-weight:bold,stroke-width:2px,stroke:yellow
%% the trailing spaces are needed, do dot delete them.
initial --> associated:
associated --> authorized:
%associated --> associated: Set permissions
associated --> initial: reset
associated --> e_auth:
authorized --> initial: reset
%authorized --> authorized: Set permissions
authorized --> associated:
authorized --> e_auth:
e_auth --> associated:
e_auth --> authorized:
e_auth --> initial: reset
class e_auth KeyUsage
class authorized KeyUsage
class initial KeyBlocked
class associated KeyBlockedA tabela abaixo mostra as ações possíveis e as condições necessárias (estado e permissões) que para que sejam executadas com sucesso.
Aviso
O estado da partição é mantido entre reboots do HSM.
| Ação | Estado da partição | Permissão necessária habilitada |
|---|---|---|
| Geração de chaves | Initial ou Associated | - |
| Bloqueio de chaves | Associated | Key Block |
| Destruição de chaves | Associated | Key Destroy |
| Remoção completa da partição | Associated | Partition Remove (destroy all keys) |
| Exportação de chaves | Authorized | Key Export |
| Utilização de chaves (criptografia) | Authorized | - |
Dinamo - Local Management Console
┌───────────────────┤ nsauth ├────────────────────┐
│ │
│ │
│ State: Initial │
│ │
│ [ ] - Key Read │
│ [ ] - Key Export │
│ [ ] - Key Destroy │
│ [ ] - Key Block │
│ [ ] - Partition Remove (destroy all keys) │
│ │
│ │
│ ┌─────────────┐ ┌─────────────┐ ┌───────┐ │
│ │ Associate │ │ Authorize │ │ Close │ │
│ └─────────────┘ └─────────────┘ └───────┘ │
│ │
└─────────────────────────────────────────────────┘
Service running... Replication Domain: <none>