Inicialização

A inicialização do HSM visa preparar e personalizá-lo para funcionamento no ambiente específico do cliente. O objetivo básico é gerar a chave master ou Server Master Key nos Smart Cards com esquema de compartilhamento de segredo M de N e estabelecer uma relação lógica e única entre esta chave e o HSM; esta é a chave que permitirá a ativação do HSM e o acesso dos usuários aos objetos mantidos cifrados em seus namespaces.

Os Smart Cards saem de fábrica não formatados e o HSM sai de fábrica num estado em que pode ser inicializado e ativado por qualquer cartão válido. O processo de inicialização deve garantir que os Smart Cards sejam formatados com uma Server Master Key de conhecimento apenas do(s) administrador(es) e também que o HSM só possa ser ativado a partir de então com estes Smart Cards.

A Server Master Key é gerada a partir de um material fornecido pelo administrador ou responsável pela inicialização. Fisicamente este material é uma seqüência aleatória de 32 caracteres alfanuméricos e é conhecido como semente. A semente só é necessária durante a geração da Server Master Key. Duas sementes iguais geram a mesma Server Master Key, portanto se a semente for anotada e guardada (em local seguro e controlado) é possível a qualquer tempo formatar um novo conjunto de Smart Cards como cópia do conjunto original e usar esta cópia para fazer a ativação do HSM.

Durante a geração é possível dividir esta semente em duas partes, de forma que sejam necessárias duas pessoas, cada uma informando uma metade da semente e sem conhecer a outra metade. Caso seja necessário gerar cópias do conjunto de Smart Cards originais, somente com a presença das duas pessoas, cada uma informando a metade da semente, será possível reconstruir a semente original e completar a geração da Server Master Key original no novo conjunto de Smart Cards. Esta divisão da semente não afeta o processo de ativação.

Enquanto a divisão da semente separa a responsabilidade e conhecimento da semente entre duas pessoas para a geração da Server Master Key, a adoção de um esquema M de N permite a separação da responsabilidade durante o processo de ativação, mas de uma forma mais poderosa e ao mesmo tempo mais flexível. Num esquema de compartilhamento de segredo a reconstrução da Server Master Key precisa do conjunto de cartões Smart Card (ao invés de ser gravada em um único cartão). O esquema é definido escolhendo primeiro o número total (N) de cartões que serão gerados e distribuídos, e depois escolhendo o número de cartões (M) dentro do conjunto total que será necessário apresentar durante a fase de autenticação da ativação do HSM. O conjunto mínimo é de 02 (dois) cartões. Os cartões dentro do conjunto gerado são idempotentes, ou seja, têm o mesmo peso e contribuem na mesma medida para a reconstrução da Server Master Key, portanto não há prioridade ou ordem preferencial durante a autenticação e quaisquer dos cartões gerados podem ser apresentados em qualquer ordem (a ordem seguida na geração é irrelevante). O HSM solicitará apenas o conjunto mínimo (M) suficiente para recuperar a Server Master Key. Em qualquer das opções de administração via console local onde seja necessário autenticação, será necessário a apresentação do conjunto de cartões. Os valores específicos de M e de N são dados no momento da geração da Server Master Key. O HSM trabalha com grupos de N até 256, e por exemplo podem ser definidos esquemas como 2 de 4, 3 de 8, 2 de 11, 5 de 15, entre outros. Esquemas mais sofisticados podem ser adotados, como por exemplo gerar quatro cartões num esquema 3 de 4, entregar dois cartões para uma pessoa e um cartão para outras duas pessoas cada. Assim para ativar e operar o HSM será necessário a presença da pessoa com dois cartões e uma das duas que receberam um cartão cada. As duas pessoas, mesmo juntas, que receberam um cartão cada não podem recuperar a Server Master Key para operar o HSM, assim como também não pode a pessoa sozinha com dois cartões.

Há portanto, duas opções de geração da semente e da Server Master Key:

O conhecimento da semente e posse do(s) Smart Card(s) podem ainda ser destinados a pessoas diferentes, não há relação entre conhecer a semente que gerou a Server Master Key num Smart Card e a posse deste Smart Card.

Fig. Formas de geração da semente e da Server Master Key    

(1) Uma semente, N cartões para M de N                

(2) Duas meias sementes, , N cartões para M de N

Após a primeira ativação com os Smart Cards, é estabelecida uma relação entre o HSM e a Server Master Key, e a partir daí somente estes Smarts Cards (ou um conjunto cópias deles), criadas com a mesma semente) poderão ser usados para a ativação e gerência no HSM. Esta relação fica registrada de forma persistente no HSM e só poderá ser removida com a re-inicialização da base de dados do HSM.

Importante: Se o total do conjunto ou um subconjunto N ou maior dos Smart Cards for perdido e não houver uma cópia do material usado na sua geração, todos os objetos criados sob a Server Master Key contida no conjunto não poderão ser recuperados e estarão irremediavelmente perdidos. O Smart Card tem um limite de 06 (seis) tentativas de PIN. Na sétima tentativa, se o PIN estiver errado, o cartão será travado DEFINITIVAMENTE e não poderá mais ser utilizado. Quando o PIN correto é informado, o contador de tentativas erradas é zerado.

O processo de inicialização é todo feito via console local, com o uso dos Smart Cards. Consulte o item Console Local sobre definições para da console local do HSM.

Resumidamente, os passos necessários para a inicialização são os seguintes:

Nota: O HSM é entregue com 02 (dois) Smart Cards. Caso decida pelo uso de um esquema M de N com mais de dois cartões, entre em contato com seu fornecedor para aquisição de mais Smart Cards.

Se o processo de geração da Server Master Key for interrompido, o HSM exibirá a mensagem informando que o material para a geração é inválido ou incompleto, e neste caso os Smart Cards não poderão ativar o HSM.