API Java
HSM Dinamo
Carregando...
Procurando...
Nenhuma entrada encontrado
OATH

Descrição detalhada

Autenticação padrão OATH.

Iniciativa OATH

A iniciativa OATH (Open Authentication) é um colaboração suportada por diversos membros da indústria de segurança para desenvolver uma arquitetura aberta e interoperável de autenticação forte. Este objetivo é conseguido pela definição de padrões abertos disponíveis para todos.

O ecossistema OATH é composto de fabricantes de dispositivos (tokens, chips, smart cards, computadores, celulares, PDAs. tablets), fabricantes de plataformas (serviços web, gerenciadores de identidade, servidores de aplicação, sistemas de federação de identificação), fabricantes de aplicações (VPN, CRM, ERP, DRM, comércio eletrônico, roaming, wi-fi) e integradores de sistema (ISPs, órgãos de governo, bandeiras de cartão de crédito, etc).

Módulo OATH

O HSM pode ser utilizado como gerador de sementes OATH e como autenticador de OTPs (One Time Password). A implementação do HSM está de acordo com os padrões listados abaixo.

Por prover uma fronteira criptográfica segura, ambiente controlado e algoritmos homologados o HSM apresenta vantagens na sua adoção em sistema de autenticação forte.

O módulo OATH do HSM tem três serviços básicos: emissão, autenticação e ressincronização:

  1. a emissão consiste da geração da semente pelo HSM, o que promove a emissão de um blob, que é devolvido para a aplicação para guarda em base de dados. Com o blob mantido em base da dados externa ao HSM, o processo de emissão fica bastante flexível, sem gerar carga no HSM, e mantendo o sigilo e a confidencialidade necessária.
  2. o serviço de autenticação do módulo é certamente o mais utilizado no dia a dia da produção. A aplicação quando precisar realizar uma autenticação dever recuperar o blob na base de dados, enviá-lo ao HSM, receber o resultado juntamente com o blob atualizado, para ser devolvido à base de dados.
  3. o serviço de ressincronização consiste basicamente em abrir a janela de tolerância normal, e solicitar que o usuário informe os OTPs n e n+1.

Cenários de Geração e Autenticação

Nos cenários de geração e autenticação descritos abaixo o que muda é a origem da semente e como ela é recebida pela aplicação para criação do blob e enviada ao usuário (como semente ou embarcada em token físico). Uma vez criado o blob a autenticação em qualquer cenário segue sempre o mesmo formato. Nos cenários abaixo não importa se o token é HOTP ou TOTP.

Cenário I: Token: a semente é gerada pelo fabricante do token e enviada em formato PSKC

a. Geração

  1. Aplicação seleciona ou gera uma chave master;
  2. Aplicação recebe arquivo PSKC e chave de transporte;
  3. Aplicação solicita ao HSM tradução do arquivo PSKC para blob;
  4. HSM retorna blob;
  5. Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;
  6. Aplicação despacha o token físico para o usuário;

b. Autenticação

  1. Vide abaixo;

Cenário II: Token: a semente é gerada pelo fabricante do token e enviada em texto claro

a. Geração

  1. Aplicação seleciona ou gera uma chave master;
  2. Aplicação recebe uma semente em texto claro;
  3. Aplicação prepara uma estrutura de blob OATH;
  4. Aplicação solicita ao HSM criptografia do blob OATH com a chave master;
  5. HSM retorna dado cifrado, que é o blob;
  6. Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;
  7. Aplicação despacha o token físico para o usuário;

b. Autenticação

  1. Vide abaixo;

Cenário III: Soft Token: a semente é gerada pelo usuário e recebida em texto claro

a. Geração

  1. Aplicação seleciona ou gera uma chave master;
  2. Usuário gera e exporta semente em sua aplicação OATH (smart phone, desktop, etc);
  3. Usuário envia semente para aplicação;
  4. Aplicação recebe uma semente em texto claro;
  5. Aplicação prepara uma estrutura de dados OATH;
  6. Aplicação solicita ao HSM criptografia da estrutura da dados OATH com a chave master;
  7. HSM retorna estrutura cifrada, que é o blob;
  8. Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;

b. Autenticação

  1. Vide abaixo;

Cenário IV: Soft Token: HSM gera a semente

a. Geração

  1. Aplicação seleciona ou gera uma chave master;
  2. Aplicação solicita emissão de blob OATH;
  3. HSM gera semente, prepara blob e retorna para a aplicação;
  4. Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;
  5. Aplicação envia o blob para HSM e solicita a semente em texto claro;
  6. Aplicação envia a semente para o usuário, normalmente usando algum canal seguro;
  7. Usuário importa semente para sua aplicação OATH (smart phone, desktop, etc);

b. Autenticação

  1. Vide abaixo;

Autenticação do usuário em qualquer cenário:

  1. Usuário apresenta OTP gerado para aplicação;
  2. Aplicação recupera blob do usuário a partir da base de dados e solicita verificação ao HSM passando blob e OTP;
  3. HSM processa pedido e devolve resultado e o blob processado;
  4. Aplicação recebe o blob e atualiza a base de dados;
  5. Aplicação informa usuário sobre resultado da autenticação;

Glossário

Referências

Funções

byte[] generateOATHHotpBlob (String masterKey) throws TacException
 Gera um blob OATH HOTP(HMAC-based One-Time Password).
 
byte[] generateOATHHotpBlob (String masterKey, byte seedLen) throws TacException
 Gera um blob OATH HOTP(HMAC-based One-Time Password).
 
byte[] generateOATHHotpBlob (String masterKey, byte seedLen, byte truncationOffset) throws TacException
 Gera um blob OATH HOTP(HMAC-based One-Time Password).
 
byte[] importOATHHotpBlob (String masterKey, byte[] seed) throws TacException
 Gera um blob OATH HOTP(HMAC-based One-Time Password).
 
byte[] generateOATHTotpBlob (String masterKey) throws TacException
 Gera um blob OATH TOTP(Time-based One-Time Password).
 
byte[] generateOATHTotpBlob (String masterKey, byte seedLen, byte truncationOffset, int timeStep, long t0) throws TacException
 Gera um blob OATH TOTP(Time-based One-Time Password).
 
byte[] importOATHTotpBlob (String masterKey, byte[] seed, byte truncationOffset, int timeStep, long t0, boolean useDefaultMovingFactor, long movingFactor) throws TacException
 Gera um blob OATH TOTP(Time-based One-Time Password).
 
byte[] importOATHTotpBlob (String masterKey, byte[] seed) throws TacException
 Gera um blob OATH TOTP(Time-based One-Time Password).
 
byte[] getOATHSeed (String masterKey, byte[] blob) throws TacException
 Recupera a semente(seed) do blob OATH.
 
String getNextOATHOTP (String masterKey, int otpLen, byte[] oathBlob) throws TacException
 Gera o próximo OTP a partir do OATH blob informado.
 
byte[] checkOATHBlobOTP (String masterKey, String otp, byte[] oathBlob) throws TacException
 Verifica um valor OTP para determinado blob OATH.
 
byte[] resyncOATHBlobOTP (String masterKey, String otp1, String otp2, byte[] oathBlob) throws TacException
 Re-sincroniza um blob OATH através da apresentação de dois valores de OTP contínuos.
 

Funções

◆ generateOATHHotpBlob() [1/3]

byte[] generateOATHHotpBlob ( String masterKey) throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é gerada dentro do HSM. Tamanho da semente TacNDJavaLib.ISSUE_OATH_SHA1_LEN.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ generateOATHHotpBlob() [2/3]

byte[] generateOATHHotpBlob ( String masterKey,
byte seedLen ) throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é gerada dentro do HSM.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
seedLenDefine o tamanho da semente OATH. Os seguintes valores são aceitos.
Valor Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN 20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN 32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN 64
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ generateOATHHotpBlob() [3/3]

byte[] generateOATHHotpBlob ( String masterKey,
byte seedLen,
byte truncationOffset ) throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é gerada dentro do HSM.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
seedLenDefine o tamanho da semente OATH. Os seguintes valores são aceitos.
Valor Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN 20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN 32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN 64
truncationOffsetO seguinte valor é suportado:
Valor Significado
TacNDJavaLib.ISSUE_OATH_DYN_TRUNC Define o algoritmo de “truncagem” como dinâmico.
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ importOATHHotpBlob()

byte[] importOATHHotpBlob ( String masterKey,
byte[] seed ) throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é importada pelo chamador.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
seedDefine uma semente OATH. Os seguintes tamanhos são aceitos.
Valor Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN 20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN 32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN 64
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ generateOATHTotpBlob() [1/2]

byte[] generateOATHTotpBlob ( String masterKey) throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é gerada dentro do HSM. Semente de tamanho TacNDJavaLib.ISSUE_OATH_SHA1_LEN.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ generateOATHTotpBlob() [2/2]

byte[] generateOATHTotpBlob ( String masterKey,
byte seedLen,
byte truncationOffset,
int timeStep,
long t0 ) throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é gerada dentro do HSM.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
seedLenDefine o tamanho da semente OATH. Os seguintes valores são aceitos.
Valor Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN 20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN 32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN 64
truncationOffsetO seguinte valor é suportado:
Valor Significado
TacNDJavaLib.ISSUE_OATH_DYN_TRUNC Define o algoritmo de “truncagem” como dinâmico.
timeStepValor do time step em segundos. Além de definir o time step em segundos para blobs TOTP os seguintes valores também são suportados.
Valor Significado
TacNDJavaLib.ISSUE_OATH_DEFAULT_TIME_STEP Utilizar o valor padrão de time step do HSM, atualmente 30 segs.
TacNDJavaLib.ISSUE_OATH_HOTP_TS Utilizar este valor quando se tratar de HOTP.
t0Valor do tempo inicial.
Valor Significado
TacNDJavaLib.ISSUE_OATH_HOTP_T0 Utilizar valor padrão do HSM.
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ importOATHTotpBlob() [1/2]

byte[] importOATHTotpBlob ( String masterKey,
byte[] seed,
byte truncationOffset,
int timeStep,
long t0,
boolean useDefaultMovingFactor,
long movingFactor ) throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é importada pelo chamador.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
seedDefine uma semente OATH. Os seguintes tamanhos são aceitos.
Valor Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN 20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN 32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN 64
truncationOffsetO seguinte valor é suportado:
Valor Significado
TacNDJavaLib.ISSUE_OATH_DYN_TRUNC Define o algoritmo de “truncagem” como dinâmico.
timeStepValor do time step em segundos. Além de definir o time step em segundos para blobs TOTP os seguintes valores também são suportados.
Valor Significado
TacNDJavaLib.ISSUE_OATH_DEFAULT_TIME_STEP Utilizar o valor padrão de time step do HSM, atualmente 30 segs.
TacNDJavaLib.ISSUE_OATH_HOTP_TS Utilizar este valor quando se tratar de HOTP.
t0Valor do tempo inicial.
Valor Significado
TacNDJavaLib.ISSUE_OATH_HOTP_T0 Utilizar valor padrão do HSM.
useDefaultMovingFactorDefinir como true para utilizar o moving factor padrão ou como false para especificar um moving factor em movingFactor.
movingFactorDefine o incremento inicial do cliente antes da utilização. Além da definição do incremento manualmente, pode-se utilizar os valores da seguinte tabela.
Valor Significado
TacNDJavaLib.ISSUE_OATH_INIT_MF Utiliza valor padrão de moving factor.
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ importOATHTotpBlob() [2/2]

byte[] importOATHTotpBlob ( String masterKey,
byte[] seed ) throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é importada pelo chamador.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
seedDefine uma semente OATH. Os seguintes tamanhos são aceitos.
Valor Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN 20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN 32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN 64
Retorna
Retorna o blob OATH.
Exceções
TacException

◆ getOATHSeed()

byte[] getOATHSeed ( String masterKey,
byte[] blob ) throws TacException

Recupera a semente(seed) do blob OATH.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
blobblob OATH.
Retorna
Semente associada ao blob OATH.
Exceções
TacException

◆ getNextOATHOTP()

String getNextOATHOTP ( String masterKey,
int otpLen,
byte[] oathBlob ) throws TacException

Gera o próximo OTP a partir do OATH blob informado.

Parâmetros
masterKeynome da chave mestre utilizada para proteger os blobs.
otpLentamanho do OTP que será gerado. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
oathBlobblob que será utilizado para a geração do OTP. Este buffer não será alterado.
Retorna
Retorna o OTP gerado.
Exceções
TacException

◆ checkOATHBlobOTP()

byte[] checkOATHBlobOTP ( String masterKey,
String otp,
byte[] oathBlob ) throws TacException

Verifica um valor OTP para determinado blob OATH.

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
otpOTP a ser verificado. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
oathBlobblob que terá o OTP verificado. Este buffer será reescrito com o buffer atualizado.
Retorna
blob OATH atualizado.
Exceções
TacException
Anotações
Caso seja lançado o erro D_OATH_BLOB_UPDATE esta chamada deverá ser refeita passando o oathBlob com tamanho de ISSUE_OATH_OUTPUT_MAX_BLOB_LEN contendo blob atual, para que o blob seja atualizado. Ver detalhes na especificação de OATH_UPDATE_BLOB.

◆ resyncOATHBlobOTP()

byte[] resyncOATHBlobOTP ( String masterKey,
String otp1,
String otp2,
byte[] oathBlob ) throws TacException

Re-sincroniza um blob OATH através da apresentação de dois valores de OTP contínuos.

Apenas para HOTP(OTP por evento).

Parâmetros
masterKeyNome da chave mestre utilizada para proteger os blobs.
otp1Primeiro OTP. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
otp2Segundo OTP. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
oathBlobblob que terá o OTP verificado. Este buffer será reescrito com o buffer atualizado.
Retorna
blob OATH atualizado.
Exceções
TacException
Anotações
A partir da versão 4.0.2 do firmware a janela será estendida em 200 intervalos para mais e para menos. No caso de tokens HOTP os intervalos serão contados por quantidade de eventos, no caso dos tokens TOTP serão contados por quantidade de time-steps. Caso seja lançado o erro D_OATH_BLOB_UPDATE esta chamada deverá ser refeita passando o oathBlob com tamanho de ISSUE_OATH_OUTPUT_MAX_BLOB_LEN contendo blob atual, para que o blob seja atualizado. Ver detalhes na especificação de OATH_UPDATE_BLOB.