Atributos
Opção do menu principal: Attributes
Mostra os atributos do objeto indicado.
Desde que o usuário autenticado tenha permissão de ler objetos em outra(s) partição(ões) a operação pode ser executada, indicando o nome da partição e o nome do objeto com a regra de formação:
partição/objeto
Ações
Há um menu de Ações possíveis sobre o objeto, exibido abaixo da lista de atributos. O menu varia conforme o tipo de objeto.
.
.
.
Actions:
1 - Block
2 - Edit Metadata
3 - PKCS#10 CSR
0 - Main Menu
Option :
No caso de chaves RSA ou ECC é possível gerar um CSR (Certificate Signing Request) PKCS#10 nas opções do menu de Ações, ver detalhes abaixo.
Grupos de Atributos
Os atributos são exibidos agrupados.
-
Comuns
São os atributos de operação, comuns a todos os objetos:
- Type: tipo.
- Temporary: determina se o objeto será automaticamente destruído ao final de sessão de operação.
- Exportable: determina se o objeto pode ser exportado do HSM.
- Encrypted: todos os objetos no HSM são armazenados criptografados.
- Blocked: determina se o objeto está bloqueado para operações criptográficas.
-
SP 800-57-1
É o estado do objeto conforme a especificação SP 800-57-1 (NIST Special Publication 800-57 Part 1 Revision 5, Recommendation for Key Management: Part 1 – General). Este estado é um atributo intrínseco do objeto, não importando o meio ou API pelo qual ele é manipulado.
São exibidas também a máscara de propósitos criptográficos e as datas de transição de estado durante o ciclo de vida do objeto.
Os estados são:
- Pre-Active
- Active
- Deactivated
- Compromised
- Destroyed
- Destroyed Compromised
A imagem a seguir ilustra os estados e as transições possíveis.
--- title: Estados e transições SP 800-57-1 --- stateDiagram-v2 Pre_Active: Pre Active Destroyed_Compromised: Destroyed Compromised [*] --> Pre_Active:1 Pre_Active --> Destroyed:2 Pre_Active --> Compromised:3 Pre_Active --> Active:4 Active --> Compromised:5 Active --> Deactivated:6 Deactivated --> Destroyed:7 Deactivated --> Compromised:8 Compromised --> Destroyed_Compromised:9 Destroyed --> Destroyed_Compromised:10 Destroyed_Compromised --> [*]Perigo
Mudanças no relógio do HSM podem afetar o atributo de estado. Por exemplo se um objeto tem data de ativação posterior à data atual do HSM, o estado será PRE-ACTIVE, o que impede operações criptográficos com o objeto.
-
Específicos
São os atributos específicos de cada tipo, incluindo o tamanho do material criptográfico.
-
PKCS#11
São os atributos utilizados principalmente pela API PKCS#11, mas estão disponíveis para qualquer aplicação e/ou chamador. Alguns destes atributos são de livre atribuição do usuário, como por exemplo o
CKA_LABELeCKA_APPLICATION, mas outros são de propósitos internos do HSM, como por exemplo o tipo, o identificador e o material criptográfico. Para mais detalhes sobre a API de integração PKCS#11 consulte o tópico PKCS#11.
Aviso
Todos os atributos são consistentes entre os grupos, quando há superposição. Uma mudança em um atributo de um grupo é refletida imediatamente nos atributos equivalentes dos demais grupos.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Keys/Objects - Attributes
Name (HSM) : myRSA
Type : rsa2048
Temporary : no
Exportable : no
Encrypted : yes
Blocked : no
State : ACTIVE
Mask : SIGN, DECRYPT, CERTIFICATE_SIGN, CRL_SIGN
Initial date : 2022-01-12 00:54:54 GMT
Activation date : 2022-01-12 00:54:54 GMT
Archive date : none
Compromise date : none
Compromise occurrence date : none
Deactivation date : none
Last change date : 2022-01-12 00:54:54 GMT
Original creation date : 2022-01-12 00:54:54 GMT
Process start date : none
Protect stop date : none
Public exponent(hex) : 010001
Key size : 2048 bits
CKA_KEY_TYPE : 0
CKA_CLASS : 3
CKA_EXTRACTABLE : no
CKA_SENSITIVE : yes
CKA_NEVER_EXTRACTABLE : yes
CKA_LOCAL : yes
CKA_CERTIFICATE_TYPE : 0
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
CKA_PUBLIC_EXPONENT : 010001
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
CKA_EC_PARAMS :
CKA_SUBJECT :
CKA_ISSUER :
CKA_SN :
CKA_TOKEN : yes
CKA_MODIFIABLE : yes
CKA_MODULUS_BITS : 2048
CKA_PRIVATE : yes
CKA_DERIVE : no
CKA_WRAP : no
CKA_UNWRAP : yes
CKA_SIGN : yes
CKA_VERIFY : yes
CKA_ENCRYPT : no
CKA_DECRYPT : yes
CKA_OBJECT_ID :
HSM_OBJ_VERSION : 2
HSM_OBJ_TYPE : 6
HSM_OBJ_ATTR : 0
HSM_OBJ_LEN : 1461
HSM_OBJ_ID : master/myRSA
HSM_OBJ_PVALUE : 62E90C37DDBCD46D50CBEAB3FAAD3DC50E1C0665
CKA_LABEL :
CKA_ID :
CKA_SIGN_RECOVER : no
CKA_VERIFY_RECOVER : no
CKA_APPLICATION :
CKA_TRUSTED : no
CKA_JMIDP_SEC_DOMAIN : 0
CKA_CERT_CATEGORY : 0
CKA_KEY_GEN_MECHANISM : 0
CKA_WRAP_WITH_TRUSTED : no
HSM_ASSOCIATE :
Actions:
1 - Block
2 - Edit Metadata
3 - PKCS#10 CSR
0 - Main Menu
Option :
Block
Ao efetuar o bloqueio de uma chave, alterando o seu atributo block para true, ela não poderá ser utilizada. Para chaves bloqueadas o opção muda para Unblock.
Edit Metadata
Alguns metadados, como Label PKCS#11, podem ser editados para uso pelas aplicações. Estes metadados editáveis não afetam o material da chave e nem os controles de acesso.
Emissão de CSR
Opção disponível apenas para chaves privadas (RSA e ECC).
Permite a emissão de uma requisição de certificado, CSR (Certificate Signing Request), gerados a partir da assinatura com uma chave privada, para ser enviado a uma Autoridade Certificadora, que fará e emissão do certificado correspondente. O padrão é o PKCS#10. A CSR gerada pode ser gravada em arquivos ou exibida em tela.
Atenção
Os campos no DN (Distinguished Name) X.509 devem ser precedidos de /, conforme representação definida na RFC 1779. Separação por , não é aceita.
Exemplo:
/CN=Elias Jacob/O=TAC/OU=Engenharia/L=Brasilia/ST=Distrito Federal/C=BR/EMAIL=elias@tac.com
O DN aceita os seguintes campos:
- CN: Common Name
- O: Organization
- OU: Organization Unit
- L: Local/City
- ST (ou S): State
- C: Country
- EMAIL (ou E): e-mail address
Se não for informado um DN, a CSR gerada terá um DN default com formação /CN=<user_id>_<key_id>.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Keys/Objects - Attributes
Private Key name (HSM): prod
DN (ENTER for default, /CN=<user_id>_<key_id>): /CN=Elias Jacob/O=TAC/OU=Engenharia/L=Brasilia/ST=Distrito Federal/C=BR/EMAIL=elias@tac.com
Hash :
1 - Default
2 - SHA-1
3 - SHA-224
4 - SHA-256
5 - SHA-384
6 - SHA-512
Option : 4
Output File (local) (ENTER to dump on screen) :
-----BEGIN CERTIFICATE REQUEST-----
MIIC+TCCAeECAQAwgZIxFDASBgNVBAMMC0VsaWFzIEphY29iMQwwCgYDVQQKDANU
QUMxEzARBgNVBAsMCkVuZ2VuaGFyaWExETAPBgNVBAcMCEJyYXNpbGlhMRkwFwYD
VQQIDBBEaXN0cml0byBGZWRlcmFsMQswCQYDVQQGEwJCUjEcMBoGCSqGSIb3DQEJ
ARYNZWxpYXNAdGFjLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AM2vYbnukQ2u8bME9Evsz1ze/+nbB/p0a3lEoX5kCotDMQKQ/9Fv2989Pd2dYr+5
IeINNiONR0ZuwwPSmrGR7dmE0dCyjFpu/fRvy/ZkbsQKzfKocuYSVH5jR+Gb320i
A7/vD72VSgElT1kmyINFPeYOI+bv05yuYbW/q5KRDlJMdWOLx352AcY0S1vmFJIg
YEeJMxVsU2jhe7SxT1vupi5rBO7wqe3O7fwUawctGk9OOQRWGfDzH0dNk3kBQKl0
xxKXc6yv5syBfIm9RM8w7V9RWZbd8jDSpNEYG3PhruUGDu9d3G5osXGOv0E5ImMD
bFMUXSvnFdADl6WnU5BQrxECAwEAAaAhMB8GCSqGSIb3DQEJDjESMBAwDgYDVR0P
AQH/BAQDAgXgMA0GCSqGSIb3DQEBCwUAA4IBAQBcdrcfskoey1oZP+CpfBDXDDQL
cqDQySEMzWkb1AzXf5gr92yF5htRpwb0YQti9ck2/uQBsiQxI2KE/D+SYDfqU+Hf
Jkr2VpvqfjszePr36fLUHEUHGxUhM58Zo9hchZPTD+xVa1Tqp64/qBK/MieasAWT
3W5CLFkSdMPGLCsmX7AC05QseMHk+Ql8kfgQ0njp/LN0caHzdd2NY6r3UU2wafLq
sCulPWi4gCCU741ELuRHPikhVdvE30OL043V8o9dhaqburwmmhD97sgylCn4xx8Z
toL0pfwOTWxRBgMlrYwPjB3rgbkR0IeOgZtF6h8o/pVjQvuqLyY6ZQel53EA
-----END CERTIFICATE REQUEST-----
File exported successfully.
Press ENTER key to continue...
Aviso
Para emissão de CSR PCKS#10 no formato exigido para o padrão SPB (Sistema de Pagamentos Brasileiro) consulte o tópico SPB.
Aviso
Para emissão de CSR no padrão EMV consulte o tópico EFT.