Ir al contenido

Claves y objetos

Cada tipo de clave u objeto tendrá una serie de atributos que definen completamente ese tipo, pero algunos son comunes a todos:

  1. Nombre: identifica de forma única el objeto dentro de la partición; puede tener hasta 32 caracteres y puede utilizar caracteres alfanuméricos más el subrayado. _. No HSM Los nombres de los objetos distinguen entre mayúsculas y minúsculas. Se puede hacer referencia a objetos de otras particiones indicando el nombre de la partición y el nombre del objeto con la regla de formación partición/objeto
  2. Exportable: propiedad que permite exportar el objeto fuera del HSM para utilizarlo en otras aplicaciones.
  3. Temporales: objetos que no son persistentes entre sesiones, es decir, que sólo existen durante la sesión en la que fueron creados y son eliminados por el HSM al final de dicha sesión.

Información

Dinamo Nota: todos los objetos se mantienen encriptados, independientemente del modo de funcionamiento.

La importación y exportación de claves criptográficas, así como la instalación de nuevos algoritmos y mecanismos, no interfieren con las demás claves existentes en el HSM.

En el modo RM1, sólo las funciones aprobadas por la norma están disponibles para crear llaves:

  1. DES, en modos ECB y CBC
  2. 3DES, 112 y 168 bits, en modos ECB y CBC
  3. AES, con claves de 128, 192 y 256 bits, en modos EBC, CBC y CTR
  4. RSA, por encima de 2048 bits
  5. ECDSA, con claves superiores a 224 bits
  6. EdDSA (ECX con Ed25519 y Ed448)
  7. XECDH
  8. SHA1, SHA2 y SHA3
  9. HMAC, basado en SHA1, SHA2 y SHA3
  10. CMAC, basado en 3DES y AES

En el modo RM2, están disponibles los mismos algoritmos que en RM1, a excepción de DES y 3DES de 112 bits, EdDSA y SHA1. La clave privada RSA puede tener un tamaño de 2048 o 3072.

Cuando se opera en modo no restringido(NRM), todos los algoritmos y tamaños de clave están habilitados.

DES

Clave criptográfica simétrica en bloque para el algoritmo de cifrado Data Encryption Standard. Tiene un tamaño fijo de 56 bits. En realidad, la clave tiene un tamaño de 64 bits, pero cada 8 bits uno de ellos se utiliza como bit de comprobación, lo que da lugar a un tamaño útil de 56 bits.

Las operaciones de cifrado pueden realizarse en los modos ECB(Electronic Codebook) y CBC(Cipher Block Chaining), y se recomienda utilizar el modo CBC siempre que sea posible. Se pueden utilizar tres opciones para el relleno en las operaciones de cifrado: sin relleno, relleno con ceros y relleno según el estándar PKCS#5.

3DES

Clave de cifrado simétrica en bloque para el algoritmo de cifrado Triple Data Encryption Standard, realiza una secuencia de tres operaciones DES utilizando dos o tres claves diferentes. El tamaño puede ser de 112 o 168 bits. La implementación funciona utilizando el esquema EDE(Cifrar - Descifrar - Cifrar).

Las operaciones de cifrado pueden realizarse en los modos ECB(Electronic Codebook) y CBC(Cipher Block Chaining), y se recomienda utilizar el modo CBC siempre que sea posible. Se pueden utilizar tres opciones para el relleno en las operaciones de cifrado: sin relleno, relleno con ceros y relleno según el estándar PKCS#5.

DESX

Clave de cifrado simétrica en bloque para el algoritmo de cifrado Data Encryption Standard - X (DESX o DES-X), es una variación de DES que utiliza una técnica conocida como blanqueamiento de claves, con el objetivo de dificultar los ataques de fuerza bruta. Su tamaño es de 184 bits.

Las operaciones de cifrado pueden realizarse en los modos ECB(Electronic Codebook) y CBC(Cipher Block Chaining), y se recomienda utilizar el modo CBC siempre que sea posible. Se pueden utilizar tres opciones para el relleno en las operaciones de cifrado: sin relleno, relleno con ceros y relleno según el estándar PKCS#5.

AES

Clave criptográfica simétrica en bloque para el algoritmo de cifrado Advanced Encryption Standard o Rijndael, diseñado para ser el sucesor de DES. El tamaño puede ser de 128, 192 o 256 bits.

Las operaciones de cifrado pueden realizarse en los modos ECB(Electronic Codebook) y CBC(Cipher Block Chaining), y se recomienda utilizar el modo CBC siempre que sea posible. Se pueden utilizar tres opciones para el relleno en las operaciones de cifrado: sin relleno, relleno con ceros y relleno según el estándar PKCS#5.

ARC4

Clave criptográfica simétrica de flujo para el algoritmo de cifrado Rivest Code 4, también conocido como ARC4. La implementación de HSM utiliza un tamaño de 128 bits.

RSA

Clave asimétrica para el algoritmo de cifrado de clave pública RSA. La longitud puede ser de 512, 1024, 1152, 1408, 1536, 1976, 1984, 2048, 2304, 2502, 2816, 3072, 4096 u 8192 bits.

Las claves RSA del HSM se crean con un exponente público fijo y definido (tres bytes en la secuencia 01 00 01valor decimal de 216 + 1 = 65537).

Las firmas digitales generadas por HSM son compatibles con los algoritmos definidos en el documento ICP-Brasil Normas y Algoritmos Criptográficos - DOC ICP-01.01con el Estándar de Criptografía RSA PKCS#1 v.2.1 y con RFC 3447 Estándares de Criptografía de Clave Pública (PKCS) #1: Especificaciones de Criptografía RSA Versión 2.1.

ECC y ECX

Clave criptográfica asimétrica para algoritmos de clave pública deCriptografía de Curva Elíptica (ECC) y Montgomery/Edwards (ECX). La implementación del HSM adopta las siguientes curvas y tamaños de clave:

  1. Grupo de seguridad aleatorio (112, 128, 160, 192, 224, 256, 384 y 521 bits)
  2. Grupo de seguridad Koblitz (160, 192, 224 y 256 bits)
  3. NIST Aleatorio (384 y 521 bits)
  4. ISO X9.62 (192, 239 y 256 bits)
  5. Brainpool (160, 192, 224, 256, 320, 384 y 512)
  6. Ed25519 (256 bits)
  7. Ed448 (448 bits)

La criptografía de curva elíptica en HSM implementa operaciones de firma digital (ECDSA y EdDSA) e intercambio de claves (ECDH y XECDH).

Las firmas digitales generadas por el HSM son compatibles con los algoritmos definidos en el documento _ICP-Brasil Normas y Algoritmos Criptográficos - DOC ICP-01.01.

HOTP

OATH Objeto que contiene una semilla para la autenticación según el estándar (Open Authentication) o segúnRFC 4226 - An HMAC-Based One-Time Password Algorithm. Cuando se crea un objeto HOTP, opcionalmente se puede generar y exportar un SoftToken, que es una pieza de software Java para instalar en dispositivos móviles. El token puede generarse internamente o importarse.

OATHLos tokens físicos que cumplen la norma, vendidos por terceros, también pueden autenticarse en elHSM siempre que proporcionen la semilla para su importación en el HSM.

MAPA

El tipo MAP no es exactamente un objeto, sino una agregación de identificadores. Con el objeto MAP (mapping) se pueden crear relaciones entre objetos para su uso por las aplicaciones. El objeto map tiene dos ranuras que se pueden rellenar con identificadores de otros objetos o se pueden rellenar libremente. Depende de cada aplicación interpretar cada campo MAP.

Un MAP puede utilizarse, por ejemplo, para enlazar un certificado X.509 con su clave privada RSA en un único identificador o para crear punteros con distintos nombres a un objeto (enlaces simbólicos).

Certificado X.509

Certificado digital estándar X.509. Suele importarse como un objeto opaco y el HSM lo identifica con un certificado. Este objeto no está necesariamente relacionado con una clave privada o una clave pública en el HSM. El certificado digital puede existir en la partición del usuario como entidad independiente. El HSM no genera certificados, por lo que los objetos de este tipo siempre se importan.

HSM también gestiona de forma nativa objetos de tipo CRL(Certificate Revocation List).

Dinamo H SM admite certificados digitales según la norma ICP-Brasil.

CRL

Lista de certificados revocados (CRL). HSM no genera CRL, por lo que los objetos de este tipo siempre se importan.

Cadena PKCS#7

Cadena de certificados en formato PKCS#7. Normalmente, la cadena incluye el certificado final, todas las autoridades de certificación intermedias y la autoridad de certificación raíz. HSM no genera cadenas de certificados, por lo que los objetos de este tipo siempre se importan.

Archivo

Objeto almacenado en la partición de usuario del HSM, pero interpretado de forma opaca por el HSM, es decir, sólo una secuencia de bytes identificada por un nombre. Este tipo puede ser utilizado por las aplicaciones para almacenar información de interés en el HSM, que es un repositorio seguro. El tipo Archivo está limitado a un tamaño de 65536 bytes.

Clave API

Documentación específica de la API para gestionar el ciclo de vida de las claves criptográficas, con funciones, clases y ejemplos.