Operatsioon

Selles peatükis kirjeldatakse kasutusülesandeid kasutajatele, kellel on Administraatori ja Operaatori roll. Palun lugege peatükki Rollid, et rohkem teada saada rollist.

Tähtis

Palun lugege kindlasti enne töö alustamist dokumendi alguses olevat teavet.

Võtmehaldus

Genereeri võti

NetHSM saab luua võtmepaare. Soovitatav on määrata võtme ID-variant, et anda sellele väljendusrikas nimi.

Toetatavad võtmetüübid ja vastavad mehhanismid on järgmised.

Võtme tüüp	Mehhanismid
TAG<x>	RSA_Decryption_RAW RSA_Decryption_PKCS1 RSA_Decryption_OAEP_MD5 RSA_Decryption_OAEP_SHA1 RSA_Decryption_OAEP_SHA224 RSA_Decryption_OAEP_SHA256 RSA_Decryption_OAEP_SHA384 RSA_Decryption_OAEP_SHA512 RSA_Signature_PKCS1 RSA_Signature_PSS_MD5 RSA_Signature_PSS_SHA1 RSA_Signature_PSS_SHA224 RSA_Signature_PSS_SHA256 RSA_Signature_PSS_SHA384 RSA_Signature_PSS_SHA512
Curve25519<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	AES_Encryption_CBC AES_Decryption_CBC

Võtmed määratakse võtme genereerinud kasutaja nimeruumi.

Võtme saab genereerida järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Vajalikud valikud

Valik	Kirjeldus
-p, --port INTEGER	Genereeritud võtme tüüp. Argumenti KEYTYPE<x> võimalikud väärtused on esitatud tabelis eespool.
-m, --mechanism MECHANISM	Genereeritud võtme mehhanismid. Argumenti MECHANISM võimalikud väärtused on esitatud ülaltoodud tabelis.
-l, --length INTEGER	genereeritud võtme pikkus

Võimalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Genereeritud võtme ID

näide

$ nitropy nethsm --host $NETHSM_HOST generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey

Key myFirstKey generated on NetHSM localhost:8443

Impordi võti

NetHSM saab olemasolevaid privaatseid võtmeid importida Key Store.

Toetatavad võtmetüübid ja vastavad mehhanismid on järgmised.

Võtme tüüp	Mehhanismid
TAG<x>	RSA_Decryption_RAW RSA_Decryption_PKCS1 RSA_Decryption_OAEP_MD5 RSA_Decryption_OAEP_SHA1 RSA_Decryption_OAEP_SHA224 RSA_Decryption_OAEP_SHA256 RSA_Decryption_OAEP_SHA384 RSA_Decryption_OAEP_SHA512 RSA_Signature_PKCS1 RSA_Signature_PSS_MD5 RSA_Signature_PSS_SHA1 RSA_Signature_PSS_SHA224 RSA_Signature_PSS_SHA256 RSA_Signature_PSS_SHA384 RSA_Signature_PSS_SHA512
Curve25519<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	EdDSA_Signature<x>
USER_ID<x>	AES_Encryption_CBC AES_Decryption_CBC

Võtmed määratakse võtme importinud kasutaja nimeruumi.

Impordige privaatne võti PEM-failist NetHSM-i järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Argumendid

Argument	Kirjeldus
FILENAME<x>	Privaatne võtmefail PEM-vormingus

Võimalikud valikud

Valik	Kirjeldus
-m, --mechanism MECHANISM	Genereeritud võtme mehhanismid. Argumenti MECHANISM võimalikud väärtused on esitatud ülaltoodud tabelis.
-k, --key-id TEXT	Uue võtme ID
--tags TEXT	Uue võtme silt

näide

$ nitropy nethsm --host $NETHSM_HOST import-key \
   --mechanism RSA_Signature_PSS_SHA256 \
   --mechanism RSA_Decryption_PKCS1 \
   --key-id myFirstKey \
   mykey.pem

Key myFirstKey added to NetHSM localhost:8443

Toorformaadis privaatvõtmeid saab importida järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Vajalikud valikud

Valik	Kirjeldus
-p, --port INTEGER	Genereeritud võtme tüüp. Argumenti KEYTYPE<x> võimalikud väärtused on esitatud tabelis eespool.
-m, --mechanism MECHANISM	Genereeritud võtme mehhanismid. Argumenti MECHANISM võimalikud väärtused on esitatud ülaltoodud tabelis.
-u, --user-id TEXT	RSA võtmete algväärtus p, base64-kodeeritud
-u, --user-id TEXT	RSA võtmete primaarne q, base64-kodeeritud
-e, --public-exponent TEXT	RSA võtmete avalik eksponent, base64-kodeerituna
-d, --data TEXT	ED25519 või ECDSA_* võtmeandmed, base64-kodeeritud kujul.

Võimalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Uue võtme ID
--tags TEXT	Uue võtme silt

näide

$ nitropy nethsm --host $NETHSM_HOST add-key \
   --type RSA \
   --mechanism RSA_Signature_PSS_SHA256 \
   --mechanism RSA_Decryption_PKCS1 \
   --key-id myFirstKey \
   --public-exponent AQAB \
   --prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
   --prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"

Key myFirstKey added to NetHSM localhost:8443

Klahvi kustutamine

NetHSM saab kustutada võtmeid aadressilt Key Store. Kasutajad saavad kustutada ainult oma nimeruumi võtmeid.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Argumendid

Argument	Kirjeldus
--time<x>	Kustutatava võtme ID

näide

$ nitropy nethsm --host $NETHSM_HOST delete-key myFirstKey

Key myFirstKey deleted on NetHSM localhost:8443

Loetelu võtmed

NetHSM saab loetleda kõik võtmed võtmehoidlas, mis asuvad praeguse kasutaja nimeruumis.

Nimekirja saab kätte järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori või Operaatori rolliga.

Võimalikud valikud

Valik	Kirjeldus
-f, --filter TEXT	Silt, mida otsida

näide

$ nitropy nethsm --host $NETHSM_HOST list-keys

Keys on NetHSM localhost:8443:

Key ID          Type       Mechanisms                                      Operations  Tags
-----------     ----       ----------------------------------------------  ----------  ----
myFirstKey      RSA        RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256  0

Näita võtme üksikasju

NetHSM võib väljastada üksikasjalikumat teavet salvestatud võtme kohta. Kasutajad saavad juurdepääsu ainult oma nimeruumi võtmetele.

Üksikasjalikku teavet saab kätte järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori või Operaatori rolliga.

näide

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey

Key myFirstKey on NetHSM localhost:8443:
Type:            RSA
Mechanisms:      RSA_Decryption_RAW
Operations:      0
Modulus:         r62XHPWMDdEf2I1WEpSxGowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMPa7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5PGQ==
Public exponent: AQAB

Võtme avalikku võtit saab kätte järgmiselt. See on PKCS#8-vormingus.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori või Operaatori rolliga.

näide

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----

Avalikku võtit saab kontrollida näiteks OpenSSL-i abil järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori või Operaatori rolliga.

näide

nitropy nethsm --host= $NETHSM_HOST get-key myFirstKey --public-key | openssl rsa -pubin -text

Public-Key: (2048 bit)
Modulus:
   00:af:ad:97:1c:f5:8c:0d:d1:1f:d8:8d:56:12:94:
   b1:1a:8c:18:fd:f4:05:f2:53:0f:b6:fd:c4:51:02:
   44:fc:f2:d6:06:f7:a1:17:c1:b4:41:8d:c0:55:56:
   77:7a:d9:50:5a:22:ab:78:eb:86:0f:1e:0d:af:63:
   c5:35:80:2e:e5:ff:89:3f:62:5c:d6:5b:05:34:e6:
   05:f0:3f:36:44:5e:35:30:1c:92:6d:04:7e:93:ee:
   38:37:fd:38:07:46:a1:4c:10:b1:5f:ea:2f:14:7e:
   d2:77:a4:b3:bf:13:0f:6b:b1:0a:be:16:8e:b0:b6:
   e0:ca:b3:e5:15:9c:50:9e:12:04:a8:94:42:4a:8e:
   43:45:10:fe:09:10:8f:a4:65:ec:55:78:05:6c:9a:
   cd:8a:58:76:d6:2f:0e:64:27:2d:e2:70:b6:39:2d:
   7d:d4:c7:83:2a:60:87:e2:d8:eb:7c:b3:30:38:a2:
   44:f3:32:a5:c2:17:6d:03:5b:8c:63:8f:7e:26:e6:
   82:e3:c1:94:16:c2:d8:c1:b2:e9:d7:bd:b7:52:fd:
   4f:8d:98:c2:e6:36:d4:85:27:03:d2:ef:48:fa:23:
   6b:ab:39:c0:7a:46:b8:75:6b:09:f6:38:00:fa:1e:
   a1:6e:54:a0:0a:cd:08:dc:c5:8e:b0:c5:f1:fd:8e:
   4f:19
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----

Võtmete märgistused

Sildid on valikuline funktsioon, mida saab kasutada võtmetele peeneid juurdepääsupiiranguid kehtestades. Võtmele võib määrata ühe või mitu Sildid. * Operaator* kasutajad näevad kõiki võtmeid, kuid kasutavad ainult neid, millel on vähemalt üks vastav silt. Kui võtmel puudub silt, võivad seda kasutada kõik Operaator kasutajad. * Sildi* ei saa muuta Operaator kasutaja.

Kuidas kasutada Tag’e Operaatori kontodel, leiate peatükist Tag’id kasutajatele.

Märkus

Tag’e haldavad piiranguteta kasutajad, kellel on Administraatori roll.

Tag saab lisada järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Argumendid

Argument	Kirjeldus
--time<x>	Võtme ID, millele silt määratakse
TAG<x>	Võtmele seatav silt

näide

$ nitropy nethsm --host $NETHSM_HOST add-key-tag myFirstKey berlin

Added tag berlin for key myFirstKey on the NetHSM localhost:8443

Tag saab kustutada järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Argumendid

Argument	Kirjeldus
--time<x>	Võtme ID, millele silt määratakse.
TAG<x>	Võtmele seatud silt.

näide

$ nitropy nethsm --host $NETHSM_HOST delete-key-tag myFirstKey berlin

Deleted tag berlin for key myFirstKey on the NetHSM localhost:8443

Võtmesertifikaadid

NetHSM-i salvestatud võtmete jaoks on võimalik määrata ja küsida sertifikaate.

Toetatud MIME-tüübid on järgmised.

• application/x-pem-file<x>

• application/x-x509-ca-cert<x>

• application/pgp-keys<x>

Sertifikaadi saab määrata järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori rolliga.

Vajalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Võtme ID, mille jaoks sertifikaat määratakse.

Võimalikud valikud

Valik	Kirjeldus
-m, --mechanism MECHANISM	Sertifikaadi MIME-tüüp. Saadaolevad MIME-tüübid on loetletud eespool.

Argumendid

Argument	Kirjeldus
FILENAME<x>	Sertifikaadi fail

näide

$ nitropy nethsm --host $NETHSM_HOST set-certificate --key-id myFirstKey --mime-type application/x-pem-file /tmp/cert.pem

Updated the certificate for key myFirstKey on NetHSM localhost:8443

Sertifikaati saab kätte järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori või Operaatori rolliga.

Vajalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Võtme ID, mille jaoks sertifikaat tuleb hankida.

näide

$ nitropy nethsm --host $NETHSM_HOST get-certificate --key-id myFirstKey

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Võtmesertifikaadi allkirjastamise taotlused

NetHSM toetab salvestatud võtmete jaoks CSR (Certificate Signing Requests) genereerimist.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Administraatori või Operaatori rolliga.

Vajalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Võtme ID, mille jaoks CSR genereeritakse.
--country TEXT	Riigi nimi
--state-or-province TEXT	Riigi või provintsi nimi
--locality TEXT	Kohanimi
--organization TEXT	Organisatsiooni nimi
--organizational-unit TEXT	Organisatsiooniüksuse nimi
--common-name TEXT	Üldine nimi
--email-address TEXT	E-posti aadress

näide

$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name=nitrokey.com --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIHxMIGkAgEAMHExbzAJBgNVBAYTAkRFMA0GA1UEBwwGQmVybGluMA0GA1UECAwG
QmVybGluMA8GA1UECgwITml0cm9rZXkwEwYDVQQDDAxuaXRyb2tleS5jb20wHgYJ
KoZIhvcNAQkBFhFpbmZvQG5pdHJva2V5LmNvbTAqMAUGAytlcAMhADJMNAifke6s
u7CYqHGDy3xGtXVOUNbTJG6Gn4oki+j3oAAwBQYDK2VwA0EAQilRK2Mf6kfJ4ByI
WCn9A+8IHsnE7iFcuFZpmaKfcJwZiaQppHvPg/Z0zqldzviPQ1cjKR7hSZG+8GHH
gWjEDg==
-----END CERTIFICATE REQUEST-----

Peamised toimingud

Kõiki selles peatükis kirjeldatud toiminguid saab teha ainult nende võtmete puhul, mis on praeguse kasutaja nimeruumis.

Krüpteeri

NetHSM saab krüpteerida andmeid sümmeetriliste võtmete jaoks, mis on salvestatud aadressile Key Store. Seevastu andmete krüpteerimine asümmeetriliste võtmetega ei ole NetHSMis võimalik, sest avaliku võtme krüptograafia põhimõte on teha avalik võti kõigile kättesaadavaks. Asümmeetriliste võtmete puhul pakub NetHSM avalikku võtit, mida saab kasutada krüpteerimiseks välise vahendiga. Lisateavet selle kohta, kuidas saada võtme avalikku võtit välja Key Store, leiate veebilehelt Show Key Details .

Sümmeetrilise võtme jaoks saab andmeid krüpteerida järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Operator rolliga.

Vajalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Võtme ID, millega andmeid krüpteeritakse.
-d, --data TEXT	Andmed Base64-kodeeringus
-m, --mode [AES_CBC]	Krüptimisrežiim
-iv, --initialization-vector TEXT	Initsialiseerimisvektor Base64-kodeeringus

näide

$ nitropy nethsm --host $NETHSM_HOST encrypt -k myFirstKey -d "TmV0SFNNIHJ1bGV6enp6enp6enp6enp6enp6enp6IQo=" -m AES_CBC -iv "aYlwUI4A9zL9tts4dMAq+A=="

Encrypted: Uk+9pgucdxTnbyIb/6+BDJef+HfRWhw+Eg3RcCvyHaU=
Initialization vector: aYlwUI4A9zL9tts4dMAq+A==

See prindib krüpteeritud ja base64-kodeeritud sõnumi NetHSM rulezzzzzzzzzzzzzzzzzzz! ning initsialiseerimisvektori.

Andmeid saab krüpteerida asümmeetriliste võtmete puhul OpenSSL-i abil järgmiselt.

$ echo 'NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.pem | base64 > data.crypt

See kirjutab krüpteeritud ja base64-kodeeritud sõnumi NetHSM rulez! faili data.crypt, kasutades public.pem avalikku võtit.

Dekrüpteeri

NetHSM saab dekrüpteerida andmeid NetHSMi Key Store-sse salvestatud privaatvõtme jaoks. Selles näites kasutatakse eelmisest peatükist pärit krüpteeritud sõnumit Encrypt.

Toetatud dekrüpteerimisrežiimid on järgmised.

• TAG<x>

• PKCS1<x>

• FILENAME<x>

• --network<x>

• OAEP_SHA224<x>

• OAEP_SHA224<x>

• OAEP_SHA224<x>

• OAEP_SHA224<x>

• USER_ID<x>

Andmeid saab dekrüpteerida järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Operator rolliga.

Vajalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Andmete laiuse dekrüpteerimiseks kasutatava võtme ID
-d, --data TEXT	Krüpteeritud andmed Base64-kodeeringus
-d, --data TEXT	Dekrüpteerimisrežiim. Saadaolevad režiimid on loetletud eespool.

näide

$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d

NetHSM rulez!

Allkiri

NetHSM saab allkirjastada andmeid NetHSMi Key Store-s salvestatud privaatvõtme jaoks. RSA- ja ECDSA-võtmega allkirjastamise puhul tuleb kõigepealt arvutada digesti.

Digesti arvutamiseks on kõigepealt vaja andmeid. Sõnum luuakse järgmiselt.

$ echo 'NetHSM rulez!' > data

Digesti arvutatakse OpenSSL-i abil järgmiselt.

$ openssl dgst -sha256 -binary data | base64 > data.digest

Toetatud allkirjastusrežiimid on järgmised.

• PKCS1<x>

• USER_ID<x>

• FILENAME<x>

• Curve25519<x>

• Curve25519<x>

• Curve25519<x>

• Curve25519<x>

• PKCS1<x>

• PKCS1<x>

Digesti põhjal saab luua allkirja järgmiselt.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Operator rolliga.

Vajalikud valikud

Valik	Kirjeldus
-k, --key-id TEXT	Andmete laiuse allkirjastamise võtme ID
-d, --data TEXT	Base64 abil kodeeritud andmed, mida allkirjastatakse.
-d, --data TEXT	Märgi režiim

näide

$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PKCS1 -d "$(cat data.digest)" | base64 -d > data.sig

Loodud allkirja saab kontrollida OpenSSL-i abil järgmiselt.

$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data

Verified OK

Juhuslik

NetHSM võib pakkuda juhuslikke baite Base64-stringina.

nitropyREST API

Vajalik roll

See toiming nõuab autentimist Operator rolliga.

Argumendid

Argument	Kirjeldus
--time<x>	Taaskasutatavad baidid

näide

nitropy nethsm --host $NETHSM_HOST random 4

94A2rg==