Ir al contenido

Atributos

Opción del menú principal: Atributos

Muestra los atributos del objeto indicado.

Siempre que el usuario autenticado tenga permiso para leer objetos en otra(s) partición(es), podrá realizar la operación, indicando el nombre de la partición y el nombre del objeto con la regla de formación:

partición/objeto

Acciones

Hay un menú de Acciones posibles en el objeto, que aparecen debajo de la lista de atributos. El menú varía según el tipo de objeto.

Opciones de acciones en atributos
.
.
.
Actions:

 1 - Block
 2 - Edit Metadata
 3 - PKCS#10 CSR

 0 - Main Menu
Option :

En el caso de claves RSA o ECC, es posible generar un CSR (Solicitud de firma de certificado) PKCS#10 en las opciones de menú de Accionesver detalles debajo de.

Grupos de atributos

Los atributos se muestran agrupados.

  1. Común

    Son los atributos de funcionamiento, comunes a todos los objetos:

    1. TipoTipo.
    2. Temporal: determina si el objeto se destruirá automáticamente al final de la sesión operativa.
    3. Exportable: determina si el objeto puede exportarse desde el HSM.
    4. Cifrado: todos los objetos del HSM se almacenan cifrados.
    5. Bloqueado: determina si el objeto está bloqueado para operaciones criptográficas.

  2. SP 800-57-1

    Es el estado del objeto según SP 800-57-1(NIST Special Publication 800-57 Part 1 Revision 5, Recommendation for Key Management: Part 1 - General). Este estado es un atributo intrínseco del objeto, independientemente del medio o API a través del cual se manipule.

    También se muestran la máscara de propósito criptográfico y las fechas de transición de estado durante el ciclo de vida del objeto.

    Los estados son:

    1. Pre-Activo
    2. Activo
    3. Desactivado
    4. Comprometido
    5. Destruido
    6. Destruido Comprometido

    La siguiente imagen ilustra los posibles estados y transiciones.

    ---
title: Estados y transiciones SP 800-57-1
---
stateDiagram-v2
  Pre_Active: Preactivo
   Destroyed_Compromised: Destruido Comprometido

   [*] --> Pre_Active :1
   Pre_Active --> Destruido:2
   Pre_Active --> Comprometido:3
   Pre_Active --> Activo:4
    Activo --> Comprometido:5
    Activo --> Desactivado:6
    Desactivado --> Destruido:7
    Desactivado --> Comprometido:8
   Comprometido --> Destroyed_Compromised :9
   Destruido --> Destroyed_Compromised :10
   Destroyed_Compromised --> [*]

    Peligro

    Los cambios en el reloj del HSM pueden afectar al atributo de estado. Por ejemplo, si un objeto tiene una fecha de activación posterior a la fecha actual del HSM, el estado será PREACTIVO, lo que impide realizar operaciones criptográficas con el objeto.

  3. Específico

    Son los atributos específicos de cada tipo, incluido el tamaño del material criptográfico.

  4. PKCS#11

    Estos son los atributos utilizados principalmente por la API PKCS#11pero están disponibles para cualquier aplicación y/o persona que los llame. Algunos de estos atributos son asignados libremente por el usuario, como los atributos CKA_LABEL e CKA_APLICACIÓNpero otras son para fines internos de HSMpor ejemplo, el tipo, el identificador y el material criptográfico. Para más detalles sobre la API de integración PKCS#11, consulte el tema PKCS#11.

Advertencia

Todos los atributos son coherentes entre los grupos cuando se solapan. Un cambio en un atributo de un grupo se refleja inmediatamente en los atributos equivalentes de los otros grupos.

Atributos de una clave RSA
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Attributes

Name (HSM) : myRSA
                            Type : rsa2048
                       Temporary : no
                      Exportable : no
                       Encrypted : yes
                         Blocked : no

                           State : ACTIVE
                            Mask : SIGN, DECRYPT, CERTIFICATE_SIGN, CRL_SIGN
                    Initial date : 2022-01-12 00:54:54 GMT
                 Activation date : 2022-01-12 00:54:54 GMT
                    Archive date : none
                 Compromise date : none
      Compromise occurrence date : none
               Deactivation date : none
                Last change date : 2022-01-12 00:54:54 GMT
          Original creation date : 2022-01-12 00:54:54 GMT
              Process start date : none
               Protect stop date : none

            Public exponent(hex) : 010001
                        Key size : 2048 bits

                    CKA_KEY_TYPE : 0
                       CKA_CLASS : 3
                 CKA_EXTRACTABLE : no
                   CKA_SENSITIVE : yes
           CKA_NEVER_EXTRACTABLE : yes
                       CKA_LOCAL : yes
            CKA_CERTIFICATE_TYPE : 0
                     CKA_MODULUS : 9F84737F2EB33E8E8265B1C0F93F6582109DEA495448420ABF3FD9DA262C1CA328E81DAE8D5C6EEF363803D46FB6B500F910132A8F38C7272433737187421B28281F12FB301764F47897A6A6D9726DDD18FA5AEA2EEEB7C61DBBD2D9BEAEDE59938C523109F789D4C3F786ABAE2C8346EE6588A593A7933BA672B5B2C4779D2166F86A0156D121781BAF4FBF7FA61A92D1559152EC456F47B29694E2C41D9EA0630C345C6FC3183CE1B812ABB118FA64BF0EBE2B50AE1B35A29467E264DA7199813F156985A71E2FD6D2CC21D13410891CC3137BF3698C9FA62FC93D4191BF0525CB706639C74A67143913E7B9BC9A63D9C18D1FBE2EC3BDF9BEA4F1483DE363
             CKA_PUBLIC_EXPONENT : 010001
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
                   CKA_EC_PARAMS :
                     CKA_SUBJECT :
                      CKA_ISSUER :
                          CKA_SN :
                       CKA_TOKEN : yes
                  CKA_MODIFIABLE : yes
                CKA_MODULUS_BITS : 2048
                     CKA_PRIVATE : yes
                      CKA_DERIVE : no
                        CKA_WRAP : no
                      CKA_UNWRAP : yes
                        CKA_SIGN : yes
                      CKA_VERIFY : yes
                     CKA_ENCRYPT : no
                     CKA_DECRYPT : yes
                   CKA_OBJECT_ID :
                 HSM_OBJ_VERSION : 2
                    HSM_OBJ_TYPE : 6
                    HSM_OBJ_ATTR : 0
                     HSM_OBJ_LEN : 1461
                      HSM_OBJ_ID : master/myRSA
                  HSM_OBJ_PVALUE : 62E90C37DDBCD46D50CBEAB3FAAD3DC50E1C0665
                       CKA_LABEL :
                          CKA_ID :
                CKA_SIGN_RECOVER : no
              CKA_VERIFY_RECOVER : no
                 CKA_APPLICATION :
                     CKA_TRUSTED : no
            CKA_JMIDP_SEC_DOMAIN : 0
               CKA_CERT_CATEGORY : 0
           CKA_KEY_GEN_MECHANISM : 0
           CKA_WRAP_WITH_TRUSTED : no
                   HSM_ASSOCIATE :

Actions:

 1 - Block
 2 - Edit Metadata
 3 - PKCS#10 CSR

 0 - Main Menu
Option :

Bloque

Cuando bloqueas una llave cambiando su atributo bloque a verdaderono se puede utilizar. Para las llaves bloqueadas, la opción cambia a Desbloquear.

Editar metadatos

Algunos metadatos, como Label PKCS#11, pueden editarse para ser utilizados por las aplicaciones. Estos metadatos editables no afectan al material de la clave ni a los controles de acceso.

Cuestión de RSE

Opción sólo disponible para claves privadas (RSA y ECC).

Permite emitir una solicitud de certificado, CSR(Certificate Signing Request), generada a partir de la firma con una clave privada, para enviarla a una Autoridad de Certificación, que emitirá el certificado correspondiente. El estándar es PKCS#10. La CSR generada puede guardarse en ficheros o mostrarse en pantalla.

Atención

Los campos del DN (Nombre distinguido) X.509 debe ir precedido de /según la representación definida en RFC 1779. Separación por , no se acepta.

Por ejemplo: 

/CN=Elias Jacob/O=TAC/OU=Engenharia/L=Brasilia/ST=Distrito Federal/C=BR/EMAIL=elias@tac.com

DN acepta los siguientes campos:

  1. CN: Nombre común
  2. O: Organización
  3. OR: Unidad de Organización
  4. L: Local/Ciudad
  5. ST (o S): Estado
  6. C: País
  7. EMAIL (o E): dirección de correo electrónico

Si no DNel CSR generado tendrá un DN por defecto con formación /CN=<user_id>_<key_id>.

Generación de una CSR a partir de una clave privada
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Attributes

Private Key name (HSM): prod
DN (ENTER for default, /CN=<user_id>_<key_id>): /CN=Elias Jacob/O=TAC/OU=Engenharia/L=Brasilia/ST=Distrito Federal/C=BR/EMAIL=elias@tac.com
Hash :
 1 - Default
 2 - SHA-1
 3 - SHA-224
 4 - SHA-256
 5 - SHA-384
 6 - SHA-512
Option : 4
Output File (local) (ENTER to dump on screen) :

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

File exported successfully.

Press ENTER key to continue...

Advertencia

Para emitir el CSR PCKS#10 en el formato requerido por el estándar SPB (Sistema Brasileño de Pagos), consulte el tema SPB.

Advertencia

Para emitir CSR en el estándar EMV, consulte el tema EFT.