Introducción

Esta documentación describe las API propietarias de HSM, con estructuras de datos, funciones, códigos de retorno y ejemplos. Consulte también el Manual del software cliente para conocer la configuración de los parámetros de la biblioteca, como el equilibrio de carga y el almacenamiento en caché de sesiones; algunos de estos parámetros influyen en el funcionamiento de las API.

Las APIs de HSM permiten el uso de características de seguridad/cifrado en las aplicaciones, sin embargo esta documentación no cubre o discute la teoría de seguridad/cifrado o detalles como las fortalezas y debilidades de cada algoritmo específico o diseño de protocolo. La criptografía es un tema complejo y avanzado, por lo que siempre es aconsejable consultar una referencia sólida y reciente para hacer el mejor uso de HSM. Trata siempre de entender lo que estás haciendo y por qué lo estás haciendo. No te limites a copiar código para resolver los problemas de tu escenario. Ya se han desarrollado muchas aplicaciones con graves problemas de seguridad simplemente porque se eligió la herramienta equivocada.

Interfaz de programación

Dinamo HSM proporciona una interfaz de programación de cliente muy rica y versátil, que permite una integración rápida y sencilla en cualquier tipo de aplicación. Dinamo Networks proporciona una API para plataformas Windows y Linux (distribuciones Red Hat y Ubuntu) en los paquetes de software cliente. Consulte para versiones específicas de Unix y Linux u otras plataformas.

Observación

Las sesiones de HSM tienen afinidad sesión-hilo. Esto significa que la misma sesión no puede ser utilizada por varios hilos al mismo tiempo.

Las sesiones de comunicación abiertas por el cliente al servicio HSM pueden ser cifradas o abiertas. Cuando son cifradas, se utiliza el protocolo TLS (Transport Layer Security). Existe un tiempo de espera de inactividad de 20 (veinte) minutos, es decir, transcurrido este periodo sin peticiones del cliente al servidor, el servicio HSM finaliza inmediatamente la sesión del cliente y sólo abriendo una nueva conexión (con nueva autenticación) podrá volver a comunicarse. Este tiempo de espera evita que las sesiones se bloqueen y añade un nivel de seguridad al canal.

Hay un límite de 7 sesiones simultáneas que pueden recibir notificaciones de registro(seguimiento).

Dinamo El HSM se ha diseñado con una gestión de claves simétricas y asimétricas altamente optimizada, tanto en términos de rendimiento en el cliente y en el HSM, como de facilidad de programación. Las operaciones de generación, recuperación y eliminación de claves son atómicas, y cada clave tiene un identificador único. Los atributos específicos de cada clave (tipo, tamaño, valor, exportable, cifrado, etc.) se almacenan en estructuras de caché, lo que ofrece una sustancial ganancia de rendimiento sin comprometer la seguridad. Todas las claves almacenadas internamente con el atributo de cifrado activado son cifradas por la SVMK (Server Master Key), que a su vez sólo se introduce en el sistema tras la autenticación mediante la tarjeta inteligente, y sólo se conserva en memoria volátil.

La eliminación de claves es una operación definitiva y no hay forma de recuperar las claves eliminadas, por lo que la aplicación debe programar mecanismos de comprobación antes de realizar una operación de eliminación de claves. Un mensaje atascado por una clave eliminada estará prácticamente perdido, ya que sólo un ataque de fuerza bruta podrá recuperar el mensaje, lo que puede ser inviable computacionalmente.

La función de sonda permite comprobar el estado del HSM con un tráfico y un procesamiento mínimos.

Observación

Dinamo Networks mejora constantemente sus productos, por lo que es posible encontrar pequeñas discrepancias entre la documentación y el producto recibido. Dinamo Networks Si tiene alguna pregunta, no dude en ponerse en contacto con el servicio de asistencia para aclarar sus dudas.

En la descripción de los parámetros, se utilizará [in] para indicar que el valor de este parámetro debe rellenarse antes de llamar a la función (parámetro de entrada), [out] para indicar que el valor se rellenará internamente en la función y se devolverá en la salida (parámetro de salida) y [in/out ] para indicar que el parámetro debe rellenarse antes de llamar a la función y puede modificarse internamente (parámetro bidireccional).

Variables medioambientales

Diversos aspectos del funcionamiento de la biblioteca pueden configurarse y controlarse mediante variables de entorno. Consulte el tema Variables de entorno de la documentación de HSM para conocer las opciones disponibles y los detalles.

Notas

Las interfaces de programación en distintos idiomas disponibles para el HSM:

1. C/C++
2. Java
3. .NET
4. JavaScript

En la documentación técnica del HSM encontrará información sobre funciones, inicialización, gestión, integración, etc.

Dinamo NetworksPara obtener información sobre las versiones de software, consulte las Notas de la versión y las Descargas.