Ir al contenido

Importar

Opción del menú principal: Importar

Importa claves y objetos a la partición del usuario. La importación se realiza siempre desde un archivo de la estación de trabajo o, en algunos casos, mediante la introducción manual de datos por parte del usuario.

Advertencia

En el menú Funcionamiento de HSM, en las opciones EFT y SPB. Consulte los temas EFT y SPB para obtener más información.

Los siguientes tipos de objetos pueden importarse a través de las interfaces de consola:

  1. Claves simétricas: claves DES, 3DES y AES.

  2. Claves asimétricas: claves RSA y ECC.

  3. Otros objetos: certificados y cadenas.

El objeto importado sigue las mismas reglas de creación de objetos (véase el tema Generación).

La indicación (local) siempre se refiere a un nombre de archivo en la estación de trabajo del usuario y la indicación (hsm) se refiere a un nombre de objeto del HSM.

Siempre que el usuario autenticado tenga permiso para crear objetos en otra(s) partición(es), la operación se puede realizar indicando el nombre de la partición y el nombre del objeto con la regla de formación:

partición/objeto

Cuando se opera en modo restringido, el método RSA KEK está disponible para importar claves simétricas (3DES y AES) y el método PKCS#8 está disponible para importar claves asimétricas (RSA o ECC) con derivación de la clave de encriptación AES 256 utilizando una contraseña de 16 caracteres.

Atención

En las operaciones KEK(Key Encryption Key), la clave de cifrado no debe ser más débil que la clave transportada.

Claves simétricas

Las claves simétricas pueden importarse utilizando los siguientes métodos:

  1. Protegido por KEK, unaclave de encriptación de claves.

    Si la KEK es una clave RSA, el método de enveloping esperado es el estándar PKCS#1 versión 2.1, con un esquema de encriptación de RSAES-OAEP. El usuario debe tener en su partición la clave privada equivalente a la clave pública original que cerró el sobre.

  2. En texto claro.

Claves asimétricas

Las claves asimétricas pueden importarse al HSM mediante los siguientes métodos:

  1. Protegido por KEK, unaclave de encriptación de claves.

  2. PKCS#1; la clave pública y/o privada RSA se importa en texto claro con codificación DER. En el caso de una clave privada, el formato del fichero debe ser ASN.1, tal y como se define en el estándar PKCS#1 v1.5 en la sección 7.1. En el caso de una clave pública, el archivo debe contener la representación de la sección 7.2.

  3. PKCS#8; en esta opción la clave privada (RSA o ECC/ECDSA) puede importarse en texto claro o protegida por un sobre digital. Para más detalles sobre las normas, consulte los documentos de RSA Labs Public-Key Cryptography Standards (PKCS).

    En modo restringido, las claves RSA sólo pueden importarse a través del estándar PKCS#8 utilizando un sobre digital, derivando una clave AES 256 a partir de una contraseña de al menos 01 carácter, y la derivación se realiza según el estándar PKCS#5 versión 2.0.

  4. PKCS#12el certificado y la clave privada correspondiente contenidos en un archivo PKCS#12 (normalmente archivos con extensión .pfx o .p12, protegidos mediante cifrado derivado de una contraseña) en el HSM; la clave y el certificado se importan como objetos independientes, y posteriormente pueden eliminarse por separado sin que interfieran entre sí. Para más detalles sobre las normas, consulte los documentos Public-Key Cryptography Standards (PKCS) de RSA Labs.

  5. Protegido por una clave pública cuya clave privada equivalente existe en la partición del usuario.

Certificados, cadenas y archivos

Los siguientes tipos de objetos pueden importarse en Otros objetos:

  1. Certificado: el archivo indicado debe ser un certificado X.509, como un certificado estándar ICP-Brasil;

  2. Cadenas de certificados estándar PKCS#7: el archivo indicado debe ser una cadena de certificados X.509;

  3. Archivo: objetos opacos para el HSM, interpretados como una simple secuencia de bytes. El HSM siempre intentará identificar el tipo del objeto importado, por lo que si el archivo indicado es, por ejemplo, un certificado X.509, una CRL o una cadena de certificados estándar PKCS#7 válidos (archivos en formato BASE64 o DER), el HSM identificará el tipo e indicará el tipo correcto en los atributos del objeto.

  4. PSKC Translate: el archivo indicado debe ser un archivo PSKC(Portable Symmetric Key Container). OATH Este tipo de archivo se utiliza normalmente para importar semillas (para más detalles, consulte el temaoath).

Opciones de importación
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Import



 1 - Symmetric Keys
 2 - Asymmetric Keys
 3 - Others













 0 - Main Menu

Option:

Importación de claves asimétricas mediante un fichero PKCS#12

Importar clave y certificado desde un archivo .pfx
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Keys/Objects - Import - Asymmetric Keys - PKCS#12

File (local) : lab.pfx
Private key password : ********
Exportable (y/[n]):
Private key name : labk
X.509 certificate name (HSM) : labc
Public key name (ENTER for none) : labpub

File loaded successfully.

Press ENTER key to continue...