Ir al contenido

Exportar

Opción del menú principal: Exportar

Exporta claves y objetos fuera del HSM. Para exportar un objeto, debe tener activado el atributo de exportación. La salida suele ir a un archivo y, en ciertos casos, también existe la opción de un volcado de pantalla.

Advertencia

En el menú Funcionamiento del HSM, en las opciones EFT y SPB. Consulte los temas EFT y SPB para obtener más información.

Los siguientes tipos de objetos pueden exportarse a través de las interfaces de consola:

  1. Claves simétricas

  2. Claves asimétricas

  3. Otros objetos

La indicación (local ) siempre se refiere a un nombre de archivo en la estación de trabajo del usuario y la indicación (hsm) se refiere a un nombre de objeto en la partición HSM.

Siempre que el usuario autenticado tenga permiso para leer objetos en otra(s) partición(es), la operación puede realizarse indicando el nombre de la partición y el nombre del objeto con la regla de formación:

partición/objeto

Peligro

Los métodos de exportación de texto sin formato sólo deben utilizarse en entornos muy controlados y protegidos por otras medidas de seguridad, ya que el material clave quedará completamente expuesto.

Cuando se opera en modo Restringido, el método RSA KEK está disponible para la exportación de claves simétricas (3DES y AES) y el método PKCS#8 está disponible para la exportación de claves asimétricas (RSA o ECC) con derivación de la clave de cifrado AES 256 mediante contraseña de 16 caracteres.

Claves simétricas

Las claves simétricas pueden exportarse utilizando los siguientes métodos:

  1. Protegido por KEK, unaclave de encriptación de claves.

    Si la KEK es una clave RSA, el método de ensobrado utilizado es el estándar PKCS#1 versión 2.1, con el siguiente esquema de cifrado RSAES-OAEP. Las claves simétricas exportables en el HSM se exportan cifradas mediante una clave pública. El destinatario debe disponer de la clave privada equivalente y abrir el sobre digital siguiendo las reglas del esquema de cifrado.

    Atención

    En las exportaciones KEK(Key Encryption Key), la clave de cifrado no debe ser más débil que la clave transportada.

  2. En texto claro.

Claves asimétricas

Las claves asimétricas pueden exportarse utilizando los siguientes métodos:

  1. Protegido por KEK, unaclave de encriptación de claves.

    Atención

    En las exportaciones KEK(Key Encryption Key), la clave de cifrado no debe ser más débil que la clave transportada.

  2. PKCS#1; la clave pública y/o privada RSA se exporta en texto claro con codificación DER. En el caso de la exportación de la clave privada, el formato del fichero de salida será ASN.1, tal y como se define en el estándar PKCS#1 v1.5 en la sección 7.1. En el caso de exportar la clave pública, el fichero de salida contendrá la representación de la sección 7.2.

    Llave privada:

    RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER -- (inverse of q) mod p }

    Clave pública:

    RSAPublicKey ::= SEQUENCE {
modulus INTEGER, -- n
publicExponent INTEGER -- e }

  3. PKCS#8; en esta opción la clave privada asimétrica (RSA o ECC/ECDSA) puede exportarse en texto plano o protegida mediante sobre digital. Para más detalles sobre las normas, consulte los documentos de RSA Labs Public-Key Cryptography Standards (PKCS).

    En modo de funcionamiento restringido, las claves asimétricas exportables sólo pueden exportarse a través del estándar PKCS#8 utilizando un sobre digital, derivando una clave AES 256 a partir de una contraseña de exactamente 16 (dieciséis) caracteres, realizándose la derivación de acuerdo con el estándar PKCS#5 versión 2.0.

  4. PKCS#12El certificado y la clave privada correspondiente se exportan en un paquete con un esquema de transporte. PKCS#12 en texto plano o protegido mediante cifrado derivado de una contraseña definida por el usuario. Los archivos suelen crearse con extensión .pfx o .p12.

Certificados, cadenas y archivos

Certificado / PKCS#7 / Archivo exportable:

  1. Certificado: el objeto indicado debe ser un certificado X.509;

  2. Cadenas de certificados estándar PKCS#7: el objeto indicado debe ser una cadena de certificados X.509;

  3. Archivo: objetos opacos para el HSM, interpretados únicamente como una secuencia de bytes.

BYOK

Las claves de la estrategia BYOK pueden exportarse a los siguientes proveedores de nube: Azure y AWS.

  1. Azure

    Importante

    • Key Vault debería ser de nivel Premium
    • KEK debe ser RSA 3072+ bits para cumplir el nivel de seguridad
    • Formato PKCS#8 requerido (no PKCS#1)
    • Se produce un error de cifrado genérico con un tamaño de clave insuficiente

    • Sobre OAEP-SHA1 de una clave AES-256 efímera

      • Relleno: MOD_CORE_KEK_WRAP_OBJ_OAEP_PAD
      • Tipo de objeto: ALG_NULL_OBJECT
      • KEK: clave pública de Azure (descargada del panel de control)

    • Sobre KWP de la clave de destino formateado en PKCS#8

      • Relleno: NO UTILIZADO (KWP gestiona el relleno internamente)
      • Tipo de objeto: MOD_CORE_KEK_WRAP_OBJ_T_P8
      • KEK: clave AES-256

    • Importar comandos en Azure (utilizando la aplicación az):

      • Llave RSA: 

        az keyvault key import --vault-name <nome-vault> --name <nome-chave> --byok-file <arquivo.byok> --ops sign

      • Llave CE: 

        az keyvault key import --vault-name <nome-vault> --name <nome-chave> --byok-file <arquivo.byok> --ops sign --kty EC     --curve P-256

      • Clave AES: 

        az keyvault key import --hsm-name <nome-hsm> --name <nome-chave> --byok-file <arquivo.byok> --ops encrypt decrypt   --kty   oct

  2. AWS

    Importante

    • Utilizar sólo la primera clave envolvente generada
    • Múltiples opciones de tamaño de clave disponibles (2048, 3072, 4096)
    • Caducidad de los tokens de importación
    • Elimine y vuelva a crear la clave gestionada si fallan las importaciones posteriores.

    • Requisitos previos

      • Utilice el primer archivo de clave pública generado por AWS (las generaciones posteriores pueden causar problemas)
      • Si la importación falla, elimine la clave gestionada y cree una nueva.

    • Algoritmos de envoltura admitidos:

      • PKCS#1 v1.5
      • OAEP SHA-1
      • OAEP SHA-256

    • Especificaciones de la llave para envolver

      • RSA 2048
      • RSA 3072
      • RSA 4096

    • Utilice la GUI de la consola de administración de AWS para importar el archivo generado.

Opciones de exportación
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.9.0.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export



 1 - Symmetric Keys
 2 - Asymmetric Keys
 3 - Certificate / PKCS#7 / File
 4 - BYOK













 0 - Main Menu

Option:

Exportación de claves asimétricas en el estándar PKCS#8

Exportación de una clave privada en formato PKCS#8
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.9.0.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Export - Asymmetric Keys - PKCS#8

Asymmetric Key name (HSM) : myexpRSA
Password (16 characters or ENTER for clear text export): ****************
Confirm password: ****************
Output File (local): myexpRSA.pkcs8

File exported successfully.

Press ENTER key to continue...