Ir al contenido

Exportar

Opción del menú principal: Exportar

Exporta claves y objetos fuera del HSM. Para exportar un objeto, debe tener activado el atributo de exportación. La salida suele ir a un archivo y, en ciertos casos, también existe la opción de un volcado de pantalla.

Advertencia

En el menú Funcionamiento del HSM, en las opciones EFT y SPB. Consulte los temas EFT y SPB para obtener más información.

Los siguientes tipos de objetos pueden exportarse a través de las interfaces de consola:

  1. Claves simétricas

  2. Claves asimétricas

  3. Otros objetos

La indicación (local) siempre se refiere a un nombre de archivo en la estación de trabajo del usuario y la indicación (hsm) se refiere a un nombre de objeto del HSM.

Siempre que el usuario autenticado tenga permiso para leer objetos en otra(s) partición(es), la operación puede realizarse indicando el nombre de la partición y el nombre del objeto con la regla de formación:

partición/objeto

Peligro

Los métodos de exportación de texto sin formato sólo deben utilizarse en entornos muy controlados y protegidos por otras medidas de seguridad, ya que el material clave quedará completamente expuesto.

Cuando se opera en modo Restringido, el método RSA KEK está disponible para la exportación de claves simétricas (3DES y AES) y el método PKCS#8 está disponible para la exportación de claves asimétricas (RSA o ECC) con derivación de la clave de cifrado AES 256 mediante contraseña de 16 caracteres.

Claves simétricas

Las claves simétricas pueden exportarse utilizando los siguientes métodos:

  1. Protegido por KEK, unaclave de encriptación de claves.

    Si la KEK es una clave RSA, el método de ensobrado utilizado es el estándar PKCS#1 versión 2.1, con el siguiente esquema de cifrado RSAES-OAEP. Las claves simétricas exportables en el HSM se exportan cifradas mediante una clave pública. El destinatario debe disponer de la clave privada equivalente y abrir el sobre digital siguiendo las reglas del esquema de cifrado.

    Atención

    En las exportaciones KEK(Key Encryption Key), la clave de cifrado no debe ser más débil que la clave transportada.

  2. En texto claro.

Claves asimétricas

Las claves asimétricas pueden exportarse utilizando los siguientes métodos:

  1. Protegido por KEK, unaclave de encriptación de claves.

    Atención

    En las exportaciones KEK(Key Encryption Key), la clave de cifrado no debe ser más débil que la clave transportada.

  2. PKCS#1; la clave pública y/o privada RSA se exporta en texto claro con codificación DER. En el caso de la exportación de la clave privada, el formato del fichero de salida será ASN.1, tal y como se define en el estándar PKCS#1 v1.5 en la sección 7.1. En el caso de exportar la clave pública, el fichero de salida contendrá la representación de la sección 7.2.

    Llave privada:

    RSAPrivateKey ::= SEQUENCE {
    version Version,
    modulus INTEGER, -- n
    publicExponent INTEGER, -- e
    privateExponent INTEGER, -- d
    prime1 INTEGER, -- p
    prime2 INTEGER, -- q
    exponent1 INTEGER, -- d mod (p-1)
    exponent2 INTEGER, -- d mod (q-1)
    coefficient INTEGER -- (inverse of q) mod p }
    

    Clave pública:

    RSAPublicKey ::= SEQUENCE {
    modulus INTEGER, -- n
    publicExponent INTEGER -- e }
    
  3. PKCS#8; en esta opción la clave privada asimétrica (RSA o ECC/ECDSA) puede exportarse en texto plano o protegida mediante sobre digital. Para más detalles sobre las normas, consulte los documentos de RSA Labs Public-Key Cryptography Standards (PKCS).

    En modo de funcionamiento restringido, las claves asimétricas exportables sólo pueden exportarse a través del estándar PKCS#8 utilizando un sobre digital, derivando una clave AES 256 a partir de una contraseña de exactamente 16 (dieciséis) caracteres, realizándose la derivación de acuerdo con el estándar PKCS#5 versión 2.0.

  4. PKCS#12el certificado y la clave privada correspondiente se exportan en un archivo paquete con un plan de transporte PKCS#12 en texto claro o protegido mediante cifrado derivado de una contraseña definida por el usuario. Los ficheros suelen crearse con la extensión .pfx o .p12.

Certificados, cadenas y archivos

Certificado / PKCS#7 / Archivo exportable:

  1. Certificado: el objeto indicado debe ser un certificado X.509;

  2. Cadenas de certificados estándar PKCS#7: el objeto indicado debe ser una cadena de certificados X.509;

  3. Archivo: objetos opacos para el HSM, interpretados únicamente como una secuencia de bytes.

Opciones de exportación
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export



 1 - Symmetric Keys
 2 - Asymmetric Keys
 3 - Certificate / PKCS#7 / File













 0 - Main Menu

Option:

Exportación de claves asimétricas en el estándar PKCS#8

Exportación de una clave privada en formato PKCS#8
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export - Asymmetric Keys - PKCS#8

Asymmetric Key name (HSM) : myexpRSA
Password (16 characters or ENTER for clear text export): ****************
Confirm password: ****************
Output File (local): myexpRSA.pkcs8

File exported successfully.

Press ENTER key to continue...