Ir al contenido

Licencia

Introducción

A partir de la versión 6.0.0.0, HSM funciona mediante un mecanismo de licencias.

Las licencias permiten determinadas capacidades del HSM, clasificadas en los siguientes tipos:

  • funcionalidad (habilitando módulos especializados como Pix, Blockchain, etc.);
  • cuantitativos (número de llaves, número de conexiones, etc.);
  • rendimiento (transacciones por segundo).

El HSM se envía de fábrica sin licencias instaladas. En el proceso de activación del HSM, el operador debe cargar las licencias recibidas.

Las licencias suelen expedirse mediante un número de serie HSM. Se trata de archivos físicos con extensión .lpack, cifrados y firmados digitalmente, que se envían al cliente por un canal independiente (normalmente por correo electrónico) a las personas establecidas en el contrato o en la fase de entrega.

Antes de instalar la licencia, el funcionamiento del HSM es bastante restringido; suficiente para una conexión y carga del operador. La activación es inmediata, no es necesario reiniciar ni detener el servicio para que se reconozca una licencia válida. El proceso se realiza a través de la consola GUI remota (mediante navegador), por lo que el HSM ya debe tener la configuración de red preparada y el servicio iniciado.

En cuanto al ámbito de aplicación, las licencias pueden ser de los siguientes tipos:

  • OEM: sólo el fabricante puede quitarlos o cambiarlos (llevan el prefijo @);
  • Regulares: el operador puede eliminarlos a través de la consola (llevan el prefijo +).

En cuanto al período de validez, pueden ser

  • perpetua;
  • con fecha de caducidad (llevan el prefijo =).

Las licencias de rendimiento se controlan por grupos de niveles deseguridad; por ejemplo, la licencia de clave rsa2k controla el número de transacciones por segundo de cualquier clave RSA de hasta 2048 bits.

Licencias disponibles

Actualmente se dispone de la siguiente lista:

El * en los siguientes términos se sustituye por el valor específico en la licencia expedida.

  1. Funcionalidades: permite módulos especializados y funciones específicas.

    • module-xml-dsig: activa el módulo XML Sign.
    • module-spb: activa el módulo SPB.
    • module-eft: activa el módulo EFT.
    • module-eft-direct: activa el módulo EFT Direct.
    • module-tsp: activa el módulo TSP (Time Stamping).
    • pix: activa el módulo Pix.
    • module-svault: activa el módulo SVault.
    • module-blockchain: activa el módulo Blockchain.
    • module-safekeeping: activa el módulo Safe Keeping.
    • disclosed-key-gen: activa la API de generación de claves optimizada (para exportación sin KEK).
    • firmware-update: activa la actualización del firmware.
    • cloud-telemetry: activa la telemetría para la nube Dinamo.

  2. Cuantitativo

    • db-*-objects: define el número máximo de objetos que pueden crearse en la base HSM (claves, certificados, etc.); incluye objetos persistentes y temporales.
    • db-*-partitions: define el número máximo de particiones que se pueden crear.
    • max-*-connections: establece el número máximo de conexiones en el HSM (sesiones simultáneas).

  3. Rendimiento: transacciones por segundo (tps).

    • sym128-*-tps: tps máximo con claves simétricas de 128 bits
    • sym192-*-tps: tps máximo con claves simétricas de 192 bits
    • sym256-*-tps: tps máximo con claves simétricas de 256 bits
    • rsa2k-*-tps: tps máximo con claves RSA de 2048 bits
    • rsa3k-*-tps: tps máximo con claves RSA de 3072 bits
    • rsa4k-*-tps: tps máximo con claves RSA de 4096 bits
    • rsa8k-*-tps: tps máximo con claves RSA de 8192 bits
    • ecc256-*-tps: tps máximo con claves EC de 256 bits
    • ecc384-*-tps: tps máximo con claves EC de 384 bits
    • ecc512-*-tps: tps máximo con claves EC de 512 bits
    • ml-dsa44-*-tps: tps máximo con llaves ml-dsa44 PQC
    • ml-dsa65-*-tps: tps máximo con llaves ml-dsa65 PQC
    • ml-dsa87-*-tps: tps máximo con llaves ml-dsa87 PQC
    • ml-kem512-*-tps: tps máximo con llaves ml-kem512 PQC
    • ml-kem768-*-tps: tps máximos con teclas PQC ml-kem768
    • ml-kem1024-*-tps: tps máximo con llaves ml-kem1024 PQC
    • slh-dsa1-*-tps: tps máximo con claves PQC slh-dsa1
    • slh-dsa3-*-tps: tps máximo con claves PQC slh-dsa3
    • slh-dsa5-*-tps: tps máximo con claves PQC slh-dsa5

Con el tiempo podrán añadirse nuevas modalidades a esta lista.

En algunos casos puede utilizarse una licencia administrativa especial(full lic) para habilitar todas las capacidades del equipo (se identifica mediante un GUID específico).

Instalación

El procedimiento con los pasos para instalar licencias está disponible en el tema Instalación de licencias.