Pular para conteúdo

Importação

Opção do menu principal: Import

Importa chaves e objetos para dentro da partição do usuário. A importação é sempre feita a partir de um arquivo na estação, ou em alguns casos, por entrada manual do usuário.

Aviso

Métodos adicionais e especializados de importação estão disponíveis no menu de Operação do HSM nas opções EFT e SPB. Consulte os tópicos EFT e SPB para mais informações.

Através da interfaces do console podem ser importados os seguintes tipos de objetos:

  1. Chaves simétricas: chaves tipo DES, 3DES e AES.

  2. Chaves assimétricas: chave tipo RSA e ECC.

  3. Outros objetos: certificados e cadeias.

O objeto importado segue as mesmas regras de criação de objetos (consulte o tópico Geração).

A indicação (local) refere-se sempre a um nome de arquivo na estação do usuário e a indicação (hsm) refere-se a um nome de objeto da partição do HSM.

Desde que o usuário autenticado tenha permissão de criar objetos em outra(s) partição(ões), a operação pode ser executada indicando o nome da partição e o nome do objeto com a regra de formação:

partição/objeto

Quando operando em modo restrito estão disponíveis para importação de chave simétrica (3DES e AES) o método com KEK RSA e para importação de chave assimétrica (RSA ou ECC) o método PKCS#8 com derivação de chave de cifragem AES 256 por senha de 16 caracteres.

Atenção

Nas operações com KEK (Key Encryption Key) a chave que faz a criptografia não pode ser mais fraca que a chave transportada.

Chaves Simétricas

As chaves simétricas podem ser importadas com os seguintes métodos:

  1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).

    No case de a KEK ser uma chave RSA o método de envelopamento esperado é o padrão PKCS#1 versão 2.1, com esquema de cifragem RSAES-OAEP. O usuário deve possuir na sua partição a chave privada equivalente à chave pública de origem que fechou o envelope.

  2. Em texto claro.

Chaves Assimétricas

As chaves assimétricas podem ser importadas para o HSM através dos métodos:

  1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key).

  2. PKCS#1; a chave pública e/ou privada RSA é importada em texto claro com encoding DER. No caso de chave privada o formato do arquivo deverá ser o ASN.1 definido no padrão PKCS#1 v1.5, na seção 7.1. No caso de chave pública o arquivo deverá conter a representação da seção 7.2.

  3. PKCS#8; nesta opção a chave privada (RSA ou ECC/ECDSA) pode ser importada em texto claro ou protegida por envelope digital. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs.

    No modo restrito as chaves RSA só podem ser importadas via o padrão PKCS#8 com uso de envelope digital, derivando uma chave AES 256 a partir de uma senha de no mínimo 01 caractere, sendo a derivação feita conforme o padrão PKCS#5 versão 2.0.

  4. PKCS#12; é importado o certificado e a chave privada correspondente contidos num arquivo PKCS#12 (normalmente arquivos com extensão .pfx ou .p12, protegidos por criptografia derivada de uma senha) para dentro do HSM; a chave e o certificado são importados como objetos independentes, podendo ser posteriormente removidos separadamente sem interferir um no outro. Para detalhes sobre os padrões, consulte os documentos Public-Key Cryptography Standards (PKCS) da RSA Labs

  5. Protegidas por chave pública cuja chave privada equivalente existe na partição do usuário.

Certificados, Cadeias e Arquivos

Em Outros Objetos podem ser importados os seguintes tipos de objetos:

  1. Certificado: o arquivo indicado deve ser um certificado X.509, como por exemplo um certificado padrão ICP-Brasil;

  2. Cadeias de certificado padrão PKCS#7: o arquivo indicado deve ser uma cadeia de certificados X.509;

  3. File: objetos opacos para o HSM, interpretado como apenas uma sequência de bytes. O HSM sempre vai tentar identificar o tipo do objeto importado, portanto caso o arquivo indicado seja por exemplo um certificado X.509, uma CRL ou uma cadeia de certificados padrão PKCS#7 válidos (arquivos em formato BASE64 ou DER), o HSM identificará o tipo e indicará nos atributos do objeto o tipo correto.

  4. PSKC Translate: o arquivo indicado deve ser um arquivo do tipo PSKC (Portable Symmetric Key Container). Este tipo de arquivo normalmente é usado para importação de sementes OATH (para maiores detalhes consulte o tópico oath).

Opções de importação
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Import



 1 - Symmetric Keys
 2 - Asymmetric Keys
 3 - Others













 0 - Main Menu

Option:

Importação de chave assimétrica usando arquivo PKCS#12

Importação de chave e certificado a partir de um arquivo .pfx
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Import - Asymmetric Keys - PKCS#12

File (local) : lab.pfx
Private key password : ********
Exportable (y/[n]):
Private key name : labk
X.509 certificate name (HSM) : labc
Public key name (ENTER for none) : labpub

File loaded successfully.

Press ENTER key to continue...