Introducción

Esta documentación describe las API propietarias de HSM, con estructuras de datos, funciones, códigos de retorno y ejemplos. Consulte también el Manual del software cliente para conocer la configuración de los parámetros de la biblioteca, como el equilibrio de carga y el almacenamiento en caché de sesiones; algunos de estos parámetros influyen en el funcionamiento de las API.

Las API de HSM permiten el uso de funciones de seguridad/cifrado en las aplicaciones, sin embargo, este manual no cubre ni discute la teoría de seguridad/cifrado ni detalles como los puntos fuertes y débiles de cada algoritmo o diseño de protocolo específico. La criptografía es un tema complejo y avanzado, por lo que siempre es aconsejable consultar una referencia sólida y reciente para hacer el mejor uso del HSM. Trata siempre de entender lo que estás haciendo y por qué lo estás haciendo. No te limites a copiar código para resolver los problemas de tu escenario. Ya se han desarrollado muchas aplicaciones con graves problemas de seguridad simplemente porque se eligió la herramienta equivocada.

Interfaz de programación

HSM Dinamo proporciona una interfaz de programación cliente muy rica y versátil, que permite una integración rápida y sencilla en cualquier tipo de aplicación. Dinamo Networks proporciona una API para plataformas Windows, Unix y Linux en el paquete Dinamo. Consulte para versiones específicas de Unix y Linux u otras plataformas.

Observación

Las sesiones de HSM tienen afinidad sesión-hilo. Esto significa que la misma sesión no puede ser utilizada por varios hilos al mismo tiempo.

Las sesiones de comunicación abiertas por el cliente al servicio Dinamo pueden ser cifradas o abiertas. Cuando son cifradas, se utiliza el protocolo TLS (Transport Layer Security). Existe un tiempo de espera de inactividad de 05 (cinco) minutos, es decir, tras un periodo de 20 minutos sin peticiones del cliente al servidor, el servicio Dinamo termina inmediatamente la sesión del cliente y sólo abriendo una nueva conexión (con nueva autenticación) podrá el cliente volver a comunicarse con Dinamo . Este tiempo de espera evita que las sesiones se bloqueen y añade un nivel de seguridad al canal.

Hay un límite de 7 sesiones simultáneas que pueden recibir notificaciones de registro.

El HSM Dinamo se ha diseñado con una gestión de claves simétricas y asimétricas altamente optimizada, tanto en términos de rendimiento en el cliente y en el HSM, como de facilidad de programación. Las operaciones de generación, recuperación y eliminación de claves son atómicas, y cada clave tiene un identificador único. Los atributos específicos de cada clave (tipo, tamaño, valor, exportable, cifrado, etc.) se almacenan en estructuras de caché, lo que ofrece una sustancial ganancia de rendimiento sin comprometer la seguridad. Todas las claves almacenadas internamente con el atributo de cifrado activado son cifradas por la SVMK (Server Master Key), que a su vez sólo se introduce en el sistema tras la autenticación mediante la tarjeta inteligente, y sólo se conserva en memoria volátil.

La eliminación de claves es una operación definitiva y no hay forma de recuperar las claves eliminadas, por lo que la aplicación debe programar mecanismos de comprobación antes de proceder a una operación de eliminación de claves. Un mensaje atascado por una clave eliminada estará prácticamente perdido, ya que sólo un ataque de fuerza bruta podrá recuperar el mensaje, lo que puede ser inviable computacionalmente.

La función de sonda permite comprobar el estado de Dinamo con un tráfico y un procesamiento mínimos.

Observación

Dinamo Networks mejora constantemente sus productos, por lo que es posible encontrar pequeñas discrepancias entre la documentación y el producto recibido. Si tiene alguna pregunta, no dude en ponerse en contacto con el soporte de Dinamo Networks para aclarar sus dudas.

Consulte el Manual del usuario para conocer las opciones de los parámetros de configuración de la API nativa.

En la descripción de los parámetros, se utilizará [in] para indicar que el valor de este parámetro debe rellenarse antes de llamar a la función (parámetro de entrada), [out] para indicar que el valor se rellenará internamente en la función y se devolverá en la salida (parámetro de salida) y [in/out] para indicar que el parámetro debe rellenarse antes de llamar a la función y puede modificarse internamente (parámetro bidireccional).

Todas las funciones exportadas desde las bibliotecas Dinamo llevan como prefijo la letra "D".

Las interfaces de programación en distintos idiomas disponibles para el HSM:

1. C/C++
2. Java
3. .net
4. JavaScript

En la documentación técnica del HSM encontrará información sobre funciones, inicialización, gestión, integración, etc.