Pular para conteúdo

Exportação

Opção do menu principal: Export

Exporta chaves e objetos para fora do HSM. Para exportar um objeto é necessário que ele tenha o atributo de exportação habilitado. A saída normalmente vai para um arquivo e em certos casos há também opção de dump em tela.

Aviso

Métodos adicionais e especializados de exportação estão disponíveis no menu de Operação do HSM nas opções EFT e SPB. Consulte os tópicos EFT e SPB para mais informações.

Através da interfaces do console podem ser exportados os seguintes tipos de objetos:

  1. Chaves simétricas

  2. Chaves assimétricas

  3. Outros objetos

A indicação (local) refere-se sempre a um nome de arquivo na estação do usuário e a indicação (hsm) refere-se a um nome de objeto da partição do HSM.

Desde que o usuário autenticado tenha permissão de ler objetos em outra(s) partição(ões), a operação pode ser executada indicando o nome da partição e o nome do objeto com a regra de formação:

partição/objeto

Perigo

Os métodos de exportação em texto claro só devem ser utilizados em ambientes altamente controlados e protegidos por outras medidas de segurança, pois o material da chave estará totalmente exposto.

Quando operando em modo Restrito estão disponíveis para exportação de chave simétrica (3DES e AES) o método com KEK RSA e para exportação de chave assimétrica (RSA ou ECC) o método PKCS#8 com derivação de chave de cifragem AES 256 por senha de 16 caracteres.

Chaves Simétricas

As chaves simétricas podem ser exportadas com os seguintes métodos:

  1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).

    No case de a KEK ser uma chave RSA o método de envelopamento utilizado é o padrão PKCS#1 versão 2.1, com esquema de cifragem RSAES-OAEP. As chaves simétricas exportáveis no HSM são exportadas cifradas por uma chave pública. O destinatário deverá possuir a chave privada equivalente e abrir o envelope digital seguindo as regras do esquema de cifragem.

    Atenção

    Nas exportações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.

  2. Em texto claro.

Chaves Assimétricas

As chaves assimétricas podem ser exportadas através dos métodos:

  1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).

    Atenção

    Nas exportações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.

  2. PKCS#1; a chave pública e/ou privada RSA é exportada em texto claro com encoding DER. No caso de exportação de chave privada o formato do arquivo de saída será o ASN.1 definido no padrão PKCS#1 v1.5, na seção 7.1. Na exportação da chave pública o arquivo de saída conterá a representação da seção 7.2.

    Chave privada:

    RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER -- (inverse of q) mod p }

    Chave pública:

    RSAPublicKey ::= SEQUENCE {
modulus INTEGER, -- n
publicExponent INTEGER -- e }

  3. PKCS#8; nesta opção a chave privada assimétrica (RSA ou ECC/ECDSA) pode ser exportada em texto claro ou protegida por envelope digital. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs.

    No modo de operação restrito as chaves assimétricas exportáveis só podem ser exportadas via o padrão PKCS#8 com uso de envelope digital, derivando uma chave AES 256 a partir de uma senha de exatos 16 (dezesseis) caracteres, sendo a derivação feita conforme o padrão PKCS#5 versão 2.0.

  4. PKCS#12; são exportados o certificado e a chave privada correspondente em um bundle com um esquema de transporte PKCS#12 em texto claro ou protegida por criptografia derivada de uma senha definida pelo usuário. Normalmente os arquivos são criados com extensão .pfx ou .p12.

Certificados, Cadeias e Arquivos

Em Certificate / PKCS#7 / File podem ser exportados:

  1. Certificado: o objeto indicado deve ser um certificado X.509;

  2. Cadeias de certificado padrão PKCS#7: o objeto indicado deve ser uma cadeia de certificados X.509;

  3. File: objetos opacos para o HSM, interpretado apenas como uma sequência de bytes.

BYOK

Em BYOK podem ser exportadas chaves na estratégia BYOK para os seguintes provedores de nuvem: Azure e AWS.

  1. Azure

    Importante

    • Key Vault deve ser tier Premium
    • KEK deve ser RSA 3072+ bits para conformidade de nível de segurança
    • Formato PKCS#8 obrigatório (não PKCS#1)
    • Erro genérico de criptografia ocorre com tamanho de chave insuficiente

    • Envelope OAEP-SHA1 de uma chave AES-256 efêmera

      • Padding: MOD_CORE_KEK_WRAP_OBJ_OAEP_PAD
      • Tipo de objeto: ALG_NULL_OBJECT
      • KEK: Chave pública do Azure (baixada do dashboard)

    • Envelope KWP da chave alvo formatada em PKCS#8

      • Padding: UNUSED (KWP manipula padding internamente)
      • Tipo de objeto: MOD_CORE_KEK_WRAP_OBJ_T_P8
      • KEK: Chave AES-256

    • Comandos de importação no Azure (utilizando aplicativo az):

      • Chave RSA: 

        az keyvault key import --vault-name <nome-vault> --name <nome-chave> --byok-file <arquivo.byok> --ops sign

      • Chave EC: 

        az keyvault key import --vault-name <nome-vault> --name <nome-chave> --byok-file <arquivo.byok> --ops sign --kty EC     --curve P-256

      • Chave AES: 

        az keyvault key import --hsm-name <nome-hsm> --name <nome-chave> --byok-file <arquivo.byok> --ops encrypt decrypt   --kty   oct

  2. AWS

    Importante

    • Use apenas a primeira chave de wrapping gerada
    • Múltiplas opções de tamanho de chave disponíveis (2048, 3072, 4096)
    • Token de importação tem tempo de expiração
    • Remova e recrie a Managed Key se importações subsequentes falharem

    • Pré-requisitos

      • Use o primeiro arquivo de chave pública gerado pelo AWS (gerações subsequentes podem causar problemas)
      • Se a importação falhar, remova a Managed Key e crie uma nova

    • Algoritmos de Wrapping Suportados:

      • PKCS#1 v1.5
      • OAEP SHA-1
      • OAEP SHA-256

    • Especificações da Chave de Wrapping

      • RSA 2048
      • RSA 3072
      • RSA 4096

    • Utilize a GUI da Console de Gerência AWS para importar o arquivo gerado.

Opçoes de exportação
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.9.0.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export



 1 - Symmetric Keys
 2 - Asymmetric Keys
 3 - Certificate / PKCS#7 / File
 4 - BYOK













 0 - Main Menu

Option:

Exportação chaves assimétricas em padrão PKCS#8

Exportação de uma chave privada em formato PKCS#8
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.9.0.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export - Asymmetric Keys - PKCS#8

Asymmetric Key name (HSM) : myexpRSA
Password (16 characters or ENTER for clear text export): ****************
Confirm password: ****************
Output File (local): myexpRSA.pkcs8

File exported successfully.

Press ENTER key to continue...