Nota: Nos HSMs com chave de transporte (TP Key) injetada só é possível a utilização de Smart Cards com a mesma TP Key injetada. A TP Key é utilizada na comunicação segura entre o HSM e o Smart Card.
A geração da semente antecede a criação da Server Master Key. A semente é o material da chave (key material), uma sequência aleatória de 32 (trinta e dois) caracteres alfanuméricos (a..zA..Z0..9) usados para gerar a Server Master Key a partir de processo de derivação criptográfico.
A partir de uma mesma semente pode ser feita uma cópia do conjunto de Smart Cards, ou em caso de perda, pode ser gerado um novo conjunto.
O material de chave é suficiente para gerar um novo conjunto de Smart Cards que dá acesso a todos os objetos cifrados no HSM. A Dinamo Networks recomenda o máximo de cuidado com a guarda do material de chave. Além disso, procure utilizar uma seqüência de caracteres alfanuméricos aleatórios e não previsível.
Como o HSM utiliza obrigatoriamente o sistema M de N, caso já exista uma parte de Server Master Key em algum dos Smart Cards do conjunto, será exibida uma mensagem de alerta, solicitando confirmação de sobrescrita. Caso uma parte de Server Master Key seja sobrescrita, ela não mais será acessível. Somente a última Server Master Key (a parte dela que vai no cartão) gerada no Smart Card pode ser lida pelo HSM.
Caso a opção seja por separar a semente em duas partes, distribuindo a responsabilidade para dois operadores/administradores , sempre que a semente precisar ser usada, as duas partes deverão ser apresentadas. Cada metade terá 16 (dezesseis) caracteres.
Importante: Em modo FIPS é mandatória a entrada da semente em duas partes.
A entrada da semente é duplicada, ou seja, o material deve ser informado duas vezes, como forma de evitar erros de digitação e verificar a integridade do dado. Se a semente e confirmação não coincidirem o processo não pode ser continuado, e neste caso o console retorna à tela de entrada da semente.
Fig. Entrada duplicada da semente
Após a entrada da sequência dos caracteres que compõem a semente e antes da confirmação da sequência como material, é apresentado um valor de SVV (Seed Verification Value), que pode ser usado para conferência da sequência, como por exemplo no caso de uma geração a partir de semente já existente. O SVV é uma seqüência de 4 (quatro) dígitos relacionada à sequência informada, serve apenas para conferência e não faz parte do material. É importante manter este valor junto à semente. Por exemplo as sequências Q67Ng87DKJ2nL93ZRjdmw2ObqU7Xc1fA e Q67Ng87DKJ2nL93ZRJdmw2ObqU7Xc1fA diferem por apenas um caracter, mas têm SVVs completamente diferentes, 8244 e 5449 respectivamente, o que evita que o operador gere uma semente com material incorreto.
Fig. Geração da semente e SVV
Consulte o item Geração da Master Key com M de N sobre os passos seguintes do processo.