Pular para conteúdo

Exportação

Opção do menu principal: Export

Exporta chaves e objetos para fora do HSM. Para exportar um objeto é necessário que ele tenha o atributo de exportação habilitado. A saída normalmente vai para um arquivo e em certos casos há também opção de dump em tela.

Aviso

Métodos adicionais e especializados de exportação estão disponíveis no menu de Operação do HSM nas opções EFT e SPB. Consulte os tópicos EFT e SPB para mais informações.

Através da interfaces do console podem ser exportados os seguintes tipos de objetos:

  1. Chaves simétricas

  2. Chaves assimétricas

  3. Outros objetos

A indicação (local) refere-se sempre a um nome de arquivo na estação do usuário e a indicação (hsm) refere-se a um nome de objeto da partição do HSM.

Desde que o usuário autenticado tenha permissão de ler objetos em outra(s) partição(ões), a operação pode ser executada indicando o nome da partição e o nome do objeto com a regra de formação:

partição/objeto

Perigo

Os métodos de exportação em texto claro só devem ser utilizados em ambientes altamente controlados e protegidos por outras medidas de segurança, pois o material da chave estará totalmente exposto.

Quando operando em modo Restrito estão disponíveis para exportação de chave simétrica (3DES e AES) o método com KEK RSA e para exportação de chave assimétrica (RSA ou ECC) o método PKCS#8 com derivação de chave de cifragem AES 256 por senha de 16 caracteres.

Chaves Simétricas

As chaves simétricas podem ser exportadas com os seguintes métodos:

  1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).

    No case de a KEK ser uma chave RSA o método de envelopamento utilizado é o padrão PKCS#1 versão 2.1, com esquema de cifragem RSAES-OAEP. As chaves simétricas exportáveis no HSM são exportadas cifradas por uma chave pública. O destinatário deverá possuir a chave privada equivalente e abrir o envelope digital seguindo as regras do esquema de cifragem.

    Atenção

    Nas exportações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.

  2. Em texto claro.

Chaves Assimétricas

As chaves assimétricas podem ser exportadas através dos métodos:

  1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).

    Atenção

    Nas exportações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.

  2. PKCS#1; a chave pública e/ou privada RSA é exportada em texto claro com encoding DER. No caso de exportação de chave privada o formato do arquivo de saída será o ASN.1 definido no padrão PKCS#1 v1.5, na seção 7.1. Na exportação da chave pública o arquivo de saída conterá a representação da seção 7.2.

    Chave privada:

    RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER -- (inverse of q) mod p }

    Chave pública:

    RSAPublicKey ::= SEQUENCE {
modulus INTEGER, -- n
publicExponent INTEGER -- e }

  3. PKCS#8; nesta opção a chave privada assimétrica (RSA ou ECC/ECDSA) pode ser exportada em texto claro ou protegida por envelope digital. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs.

    No modo de operação restrito as chaves assimétricas exportáveis só podem ser exportadas via o padrão PKCS#8 com uso de envelope digital, derivando uma chave AES 256 a partir de uma senha de exatos 16 (dezesseis) caracteres, sendo a derivação feita conforme o padrão PKCS#5 versão 2.0.

  4. PKCS#12; são exportados o certificado e a chave privada correspondente em um bundle com um esquema de transporte PKCS#12 em texto claro ou protegida por criptografia derivada de uma senha definida pelo usuário. Normalmente os arquivos são criados com extensão .pfx ou .p12.

Certificados, Cadeias e Arquivos

Em Certificate / PKCS#7 / File podem ser exportados:

  1. Certificado: o objeto indicado deve ser um certificado X.509;

  2. Cadeias de certificado padrão PKCS#7: o objeto indicado deve ser uma cadeia de certificados X.509;

  3. File: objetos opacos para o HSM, interpretado apenas como uma sequência de bytes.

Opçoes de exportação
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export



 1 - Symmetric Keys
 2 - Asymmetric Keys
 3 - Certificate / PKCS#7 / File













 0 - Main Menu

Option:

Exportação chaves assimétricas em padrão PKCS#8

Exportação de uma chave privada em formato PKCS#8
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export - Asymmetric Keys - PKCS#8

Asymmetric Key name (HSM) : myexpRSA
Password (16 characters or ENTER for clear text export): ****************
Confirm password: ****************
Output File (local): myexpRSA.pkcs8

File exported successfully.

Press ENTER key to continue...