Autenticação padrão OATH. Mais...

Funções
byte[]	generateOATHHotpBlob (String masterKey) throws TacException
	Gera um blob OATH HOTP(HMAC-based One-Time Password). Mais...

byte[]	generateOATHHotpBlob (String masterKey, byte seedLen) throws TacException
	Gera um blob OATH HOTP(HMAC-based One-Time Password). Mais...

byte[]	generateOATHHotpBlob (String masterKey, byte seedLen, byte truncationOffset) throws TacException
	Gera um blob OATH HOTP(HMAC-based One-Time Password). Mais...

byte[]	importOATHHotpBlob (String masterKey, byte[] seed) throws TacException
	Gera um blob OATH HOTP(HMAC-based One-Time Password). Mais...

byte[]	generateOATHTotpBlob (String masterKey) throws TacException
	Gera um blob OATH TOTP(Time-based One-Time Password). Mais...

byte[]	generateOATHTotpBlob (String masterKey, byte seedLen, byte truncationOffset, int timeStep, long t0) throws TacException
	Gera um blob OATH TOTP(Time-based One-Time Password). Mais...

byte[]	importOATHTotpBlob (String masterKey, byte[] seed, byte truncationOffset, int timeStep, long t0, boolean useDefaultMovingFactor, long movingFactor) throws TacException
	Gera um blob OATH TOTP(Time-based One-Time Password). Mais...

byte[]	importOATHTotpBlob (String masterKey, byte[] seed) throws TacException
	Gera um blob OATH TOTP(Time-based One-Time Password). Mais...

byte[]	getOATHSeed (String masterKey, byte[] blob) throws TacException
	Recupera a semente(seed) do blob OATH. Mais...

String	getNextOATHOTP (String masterKey, int otpLen, byte[] oathBlob) throws TacException
	Gera o próximo OTP à partir do OATH blob informado. Mais...

byte[]	checkOATHBlobOTP (String masterKey, String otp, byte[] oathBlob) throws TacException
	Verifica um valor OTP para determinado blob OATH. Mais...

byte[]	resyncOATHBlobOTP (String masterKey, String otp1, String otp2, byte[] oathBlob) throws TacException
	Re-sincroniza um blob OATH através da apresentação de dois valores de OTP contínuos. Mais...

Descrição Detalhada

Autenticação padrão OATH.

Iniciativa OATH

A iniciativa OATH (Open Authentication) é um colaboração suportada por diversos membros da indústria de segurança para desenvolver uma arquitetura aberta e interoperável de autenticação forte. Este objetivo é conseguido pela definição de padrões abertos disponíveis para todos.

O ecossistema OATH é composto de fabricantes de dispositivos (tokens, chips, smart cards, computadores, celulares, PDAs. tablets), fabricantes de plataformas (serviços web, gerenciadores de identidade, servidores de aplicação, sistemas de federação de identificação), fabricantes de aplicações (VPN, CRM, ERP, DRM, comércio eletrônico, roaming, wi-fi) e integradores de sistema (ISPs, órgãos de governo, bandeiras de cartão de crédito, etc).

Módulo OATH

O HSM pode ser utilizado como gerador de sementes OATH e como autenticador de OTPs (One Time Password). A implementação do HSM está de acordo com os padrões listados abaixo.

Por prover uma fronteira criptográfica segura, ambiente controlado e algoritmos homologados o HSM apresenta vantagens na sua adoção em sistema de autenticação forte.

O módulo OATH do HSM tem três serviços básicos: emissão, autenticação e ressincronização:

a emissão consiste da geração da semente pelo HSM, o que promove a emissão de um blob, que é devolvido para a aplicação para guarda em base de dados. Com o blob mantido em base da dados externa ao HSM, o processo de emissão fica bastante flexível, sem gerar carga no HSM, e mantendo o sigilo e a confidencialidade necessária.
o serviço de autenticação do módulo é certamente o mais utilizado no dia a dia da produção. A aplicação quando precisar realizar uma autenticação dever recuperar o blob na base de dados, enviá-lo ao HSM, receber o resultado juntamente com o blob atualizado, para ser devolvido à base de dados.
o serviço de ressincronização consiste basicamente em abrir a janela de tolerância normal, e solicitar que o usuário informe os OTPs n e n+1.

Cenários de Geração e Autenticação

Nos cenários de geração e autenticação descritos abaixo o que muda é a origem da semente e como ela é recebida pela aplicação para criação do blob e enviada ao usuário (como semente ou embarcada em token físico). Uma vez criado o blob a autenticação em qualquer cenário segue sempre o mesmo formato. Nos cenários abaixo não importa se o token é HOTP ou TOTP.

Cenário I: Token: a semente é gerada pelo fabricante do token e enviada em formato PSKC

a. Geração

Aplicação seleciona ou gera uma chave master;
Aplicação recebe arquivo PSKC e chave de transporte;
Aplicação solicita ao HSM tradução do arquivo PSKC para blob;
HSM retorna blob;
Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;
Aplicação despacha o token físico para o usuário;

b. Autenticação

Vide abaixo;

Cenário II: Token: a semente é gerada pelo fabricante do token e enviada em texto claro

a. Geração

Aplicação seleciona ou gera uma chave master;
Aplicação recebe uma semente em texto claro;
Aplicação prepara uma estrutura de blob OATH;
Aplicação solicita ao HSM criptografia do blob OATH com a chave master;
HSM retorna dado cifrado, que é o blob;
Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;
Aplicação despacha o token físico para o usuário;

b. Autenticação

Vide abaixo;

Cenário III: Soft Token: a semente é gerada pelo usuário e recebida em texto claro

a. Geração

Aplicação seleciona ou gera uma chave master;
Usuário gera e exporta semente em sua aplicação OATH (smart phone, desktop, etc);
Usuário envia semente para aplicação;
Aplicação recebe uma semente em texto claro;
Aplicação prepara uma estrutura de dados OATH;
Aplicação solicita ao HSM criptografia da estrutura da dados OATH com a chave master;
HSM retorna estrutura cifrada, que é o blob;
Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;

b. Autenticação

Vide abaixo;

Cenário IV: Soft Token: HSM gera a semente

a. Geração

Aplicação seleciona ou gera uma chave master;
Aplicação solicita emissão de blob OATH;
HSM gera semente, prepara blob e retorna para a aplicação;
Aplicação recebe o blob, cria relação entre blob e usuário e guarda em base de dados;
Aplicação envia o blob para HSM e solicita a semente em texto claro;
Aplicação envia a semente para o usuário, normalmente usando algum canal seguro;
Usuário importa semente para sua aplicação OATH (smart phone, desktop, etc);

b. Autenticação

Vide abaixo;

Autenticação do usuário em qualquer cenário:

Usuário apresenta OTP gerado para aplicação;
Aplicação recupera blob do usuário a partir da base de dados e solicita verificação ao HSM passando blob e OTP;
HSM processa pedido e devolve resultado e o blob processado;
Aplicação recebe o blob e atualiza a base de dados;
Aplicação informa usuário sobre resultado da autenticação;

Glossário

otp: (one time password), senha de uso único
token: dispositivo físico gerador de otp a partir de uma semente, normalmente identificado através de número serial único e com tamanho de um chaveiro. É resistente à violação.
soft token: dispositivo gerador de otp em software, normalmente instalado em dispositivo móvel. É menos seguro que o token físico.
semente: sequência aleatória de bytes usado como material criptográfico diversificador para a geração de otp. Deve ser mantida secreta, desde a geração até a utilização, incluindo o transporte. Cada token ou soft token deve ser associado a uma única semente.
HOTP: (HMAC-based One-time Password Algorithm) padrão de geração de otp a por evento, normalmente disparado pelo usuário, como por exemplo o apertar de um botão no token, ou seja, a cada vez que o usuário pressiona o botão no token, um novo otp é gerado.
TOTP: (Time-based One-time Password Algorithm) padrão de geração de otp por tempo; um novo otp é gerado a cada intervalo definido pelo token, independente de ação de usuário.
blob: (binary large object), estrutura criptografada contendo informações para autenticação de otp.O blob é totalmente opaco fora do HSM. A chave que criptografa o blob é uma AES (128, 192 ou 256 bits). Entre as informações que vão no blob estão a semente, o tipo (HOTP ou TOTP), intervalo de geração e tempo inicial (no caso de TOTP) e mecanismos de proteção contra ataque de replay.
resync: processo de ajuste dos contadores internos de um blob com os valores gerados pelo token físico ou soft token que visa manter a autenticação funcionando corretamente. Normalmente este processo é feito aumentando temporariamente a janela de tolerância e busca de valores de otp pelo HSM, com o usuário informando dois ou mais otps gerados em sequência pelo token.
chave master: chave AES no HSM que criptografa o blob.
chave de transporte: chave que criptografa as sementes correspondentes aos tokens conforme o padrão PSKC, para o transporte entre o fabricante do token e o integrador de sistemas. Normalmente é derivada de senha.
pskc: (Portable Symmetric Key Container), padrão de transporte e entrega segura de sementes, baseado em criptografia simétrica com derivação de chave por senha e formato XML.
tradução pskc: processo de importação das sementes em formato PSKC, decriptografia e geração de blobs individuais para armazenamento em base de dados. O processo de tradução da decriptografia do formato PSKC e criptografia no blob é realizado dentro do HSM. Normalmente um arquivo PSKC contém diversas sementes cifradas sob a mesma chave de transporte; a cada semente irá corresponder um blob.
base de dados: estrutura para armazenamento dos blobs gerados pelo HSM. Pode ser por exemplo um sistema de arquivos ou um SGBD (Sistema de Gerenciamento de Banco de Dados). Não há necessidade de proteção adicional para o blob armazenado, pois seu conteúdo só pode ser acessado com a chave master AES no HSM.

Referências

Inciativa OATH
OATH Reference Architecture Version 2.0
HOTP: An HMAC-Based OTP Algorithm RFC 4226
TOTP - Time-based One-time Password Algorithm RFC 6238
PSKC - Portable Symmetric Key Container, RFC 6030

Funções

byte [] generateOATHHotpBlob ( String masterKey ) throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é gerada dentro do HSM. Tamanho da semente TacNDJavaLib.ISSUE_OATH_SHA1_LEN.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] generateOATHHotpBlob	(	String	masterKey,
		byte	seedLen
	)		throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é gerada dentro do HSM.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

seedLen

Define o tamanho da semente OATH. Os seguintes valores são aceitos.

Valor	Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN	20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN	32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN	64

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] generateOATHHotpBlob	(	String	masterKey,
		byte	seedLen,
		byte	truncationOffset
	)		throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é gerada dentro do HSM.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

seedLen

Define o tamanho da semente OATH. Os seguintes valores são aceitos.

Valor	Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN	20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN	32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN	64

truncationOffset

O seguinte valor é suportado:

Valor	Significado
TacNDJavaLib.ISSUE_OATH_DYN_TRUNC	Define o algoritmo de “truncagem” como dinâmico.

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] importOATHHotpBlob	(	String	masterKey,
		byte[]	seed
	)		throws TacException

Gera um blob OATH HOTP(HMAC-based One-Time Password).

Também conhecido como OTP por evento. A semente é importada pelo chamador.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

seed

Define uma semente OATH. Os seguintes tamanhos são aceitos.

Valor	Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN	20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN	32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN	64

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] generateOATHTotpBlob ( String masterKey ) throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é gerada dentro do HSM. Semente de tamanho TacNDJavaLib.ISSUE_OATH_SHA1_LEN.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] generateOATHTotpBlob	(	String	masterKey,
		byte	seedLen,
		byte	truncationOffset,
		int	timeStep,
		long	t0
	)		throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é gerada dentro do HSM.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

seedLen

Define o tamanho da semente OATH. Os seguintes valores são aceitos.

Valor	Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN	20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN	32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN	64

truncationOffset

O seguinte valor é suportado:

Valor	Significado
TacNDJavaLib.ISSUE_OATH_DYN_TRUNC	Define o algoritmo de “truncagem” como dinâmico.

timeStep

Valor do time step em segundos. Além de definir o time step em segundos para blobs TOTP os seguintes valores também são suportados.

Valor	Significado
TacNDJavaLib.ISSUE_OATH_DEFAULT_TIME_STEP	Utilizar o valor padrão de time step do HSM, atualmente 30 segs.
TacNDJavaLib.ISSUE_OATH_HOTP_TS	Utilizar este valor quando se tratar de HOTP.

t0

Valor do tempo inicial.

Valor	Significado
TacNDJavaLib.ISSUE_OATH_HOTP_T0	Utilizar valor padrão do HSM.

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] importOATHTotpBlob	(	String	masterKey,
		byte[]	seed,
		byte	truncationOffset,
		int	timeStep,
		long	t0,
		boolean	useDefaultMovingFactor,
		long	movingFactor
	)		throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é importada pelo chamador.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

seed

Define uma semente OATH. Os seguintes tamanhos são aceitos.

Valor	Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN	20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN	32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN	64

truncationOffset

O seguinte valor é suportado:

Valor	Significado
TacNDJavaLib.ISSUE_OATH_DYN_TRUNC	Define o algoritmo de “truncagem” como dinâmico.

timeStep

Valor do time step em segundos. Além de definir o time step em segundos para blobs TOTP os seguintes valores também são suportados.

Valor	Significado
TacNDJavaLib.ISSUE_OATH_DEFAULT_TIME_STEP	Utilizar o valor padrão de time step do HSM, atualmente 30 segs.
TacNDJavaLib.ISSUE_OATH_HOTP_TS	Utilizar este valor quando se tratar de HOTP.

t0

Valor do tempo inicial.

Valor	Significado
TacNDJavaLib.ISSUE_OATH_HOTP_T0	Utilizar valor padrão do HSM.

useDefaultMovingFactor Definir como true para utilizar o moving factor padrão ou como false para especificar um moving factor em movingFactor.

movingFactor

Define o incremento inicial do cliente antes da utilização. Além da definição do incremento manualmente, pode-se utilizar os valores da seguinte tabela.

Valor	Significado
TacNDJavaLib.ISSUE_OATH_INIT_MF	Utiliza valor padrão de moving factor.

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] importOATHTotpBlob	(	String	masterKey,
		byte[]	seed
	)		throws TacException

Gera um blob OATH TOTP(Time-based One-Time Password).

Também conhecido como OTP por tempo. A semente é importada pelo chamador.

Parâmetros

masterKey Nome da chave mestre utilizada para proteger os blobs.

seed

Define uma semente OATH. Os seguintes tamanhos são aceitos.

Valor	Tamanho em bytes
TacNDJavaLib.ISSUE_OATH_SHA1_LEN	20
TacNDJavaLib.ISSUE_OATH_SHA256_LEN	32
TacNDJavaLib.ISSUE_OATH_SHA512_LEN	64

Retorna: Retorna o blob OATH.

Exceções

TacException

byte [] getOATHSeed	(	String	masterKey,
		byte[]	blob
	)		throws TacException

Recupera a semente(seed) do blob OATH.

Parâmetros

masterKey	Nome da chave mestre utilizada para proteger os blobs.
blob	blob OATH.

Retorna: Semente associada ao blob OATH.

Exceções

TacException

String getNextOATHOTP	(	String	masterKey,
		int	otpLen,
		byte[]	oathBlob
	)		throws TacException

Gera o próximo OTP à partir do OATH blob informado.

Parâmetros

masterKey	nome da chave mestre utilizada para proteger os blobs.
otpLen	tamanho do OTP que será gerado. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
oathBlob	blob que será utilizado para a geração do OTP. Este buffer não será alterado.

Retorna: Retorna o OTP gerado.

Exceções

TacException

byte [] checkOATHBlobOTP	(	String	masterKey,
		String	otp,
		byte[]	oathBlob
	)		throws TacException

Verifica um valor OTP para determinado blob OATH.

Parâmetros

masterKey	Nome da chave mestre utilizada para proteger os blobs.
otp	OTP a ser verificado. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
oathBlob	blob que terá o OTP verificado. Este buffer será reescrito com o buffer atualizado.

Retorna: blob OATH atualizado.

Exceções

TacException

byte [] resyncOATHBlobOTP	(	String	masterKey,
		String	otp1,
		String	otp2,
		byte[]	oathBlob
	)		throws TacException

Re-sincroniza um blob OATH através da apresentação de dois valores de OTP contínuos.

Apenas para HOTP(OTP por evento).

Parâmetros

masterKey	Nome da chave mestre utilizada para proteger os blobs.
otp1	Primeiro OTP. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
otp2	Segundo OTP. Tamanho mínimo TacNDJavaLib.ISSUE_OATH_MIN_OTP_LEN e máximo TacNDJavaLib.ISSUE_OATH_MAX_OTP_LEN.
oathBlob	blob que terá o OTP verificado. Este buffer será reescrito com o buffer atualizado.

Retorna: blob OATH atualizado.

Exceções

TacException