Művelet#

Ez a fejezet a Administrator és Operator szerepkörrel rendelkező felhasználók üzemeltetési feladatait írja le. A szerepkörökről bővebben a Rollák fejezetben olvashat.

Fontos

Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.

Kulcskezelés#

Kulcs generálása#

A NetHSM képes kulcspárokat generálni. Ajánlott a kulcs azonosítója opció megadása, hogy kifejező nevet adjon neki.

A támogatott kulcstípusok és a hozzájuk tartozó mechanizmusok a következők.

Kulcs típusa	Mechanizmusok
`TAG`	`RSA_Decryption_RAW` `RSA_Decryption_PKCS1` `RSA_Decryption_OAEP_MD5` `RSA_Decryption_OAEP_SHA1` `RSA_Decryption_OAEP_SHA224` `RSA_Decryption_OAEP_SHA256` `RSA_Decryption_OAEP_SHA384` `RSA_Decryption_OAEP_SHA512` `RSA_Signature_PKCS1` `RSA_Signature_PSS_MD5` `RSA_Signature_PSS_SHA1` `` `RSA_Signature_PSS_SHA224` `RSA_Signature_PSS_SHA256` `RSA_Signature_PSS_SHA384` `RSA_Signature_PSS_SHA512`
`Curve25519<x>`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`AES_Encryption_CBC` `AES_Decryption_CBC`

A kulcs a következőképpen generálható.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-p`, `--port` `INTEGER`	A generált kulcs típusa. A `KEYTYPE` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-m`, `--mechanism` `MECHANISM`	A generált kulcs mechanizmusai. A `MECHANISM` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-l`, `--length` `INTEGER`	A generált kulcs hossza

választható opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A generált kulcs azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey

Key myFirstKey generated on NetHSM localhost:8443

Importálási kulcs#

A NetHSM képes a meglévő magánkulcsok importálására a Key Store-ba.

A támogatott kulcstípusok és a hozzájuk tartozó mechanizmusok a következők.

Kulcs típusa	Mechanizmusok
`TAG`	`RSA_Decryption_RAW` `RSA_Decryption_PKCS1` `RSA_Decryption_OAEP_MD5` `RSA_Decryption_OAEP_SHA1` `RSA_Decryption_OAEP_SHA224` `RSA_Decryption_OAEP_SHA256` `RSA_Decryption_OAEP_SHA384` `RSA_Decryption_OAEP_SHA512` `RSA_Signature_PKCS1` `RSA_Signature_PSS_MD5` `RSA_Signature_PSS_SHA1` `` `RSA_Signature_PSS_SHA224` `RSA_Signature_PSS_SHA256` `RSA_Signature_PSS_SHA384` `RSA_Signature_PSS_SHA512`
`Curve25519<x>`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`AES_Encryption_CBC` `AES_Decryption_CBC`

Az importálás a következőképpen kezdeményezhető.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-p`, `--port` `INTEGER`	A generált kulcs típusa. A `KEYTYPE` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-m`, `--mechanism` `MECHANISM`	A generált kulcs mechanizmusai. A `MECHANISM` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-u`, `--user-id` `TEXT`	A p prímszám az RSA kulcsokhoz
`-u`, `--user-id` `TEXT`	A q prímszám az RSA kulcsokhoz
`-e`, `--public-exponent` `TEXT`	Az RSA kulcsok nyilvános exponense
`-d`, `--data` `TEXT`	Az ED25519 vagy ECDSA_* kulcsok kulcsadatai

választható opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Az új kulcs azonosítója
`--tags` `TEXT`	Az új kulcs címkéje

Példa

$ nitropy nethsm --host $NETHSM_HOST add-key \
   --type RSA \
   --mechanism RSA_Signature_PSS_SHA256 \
   --mechanism RSA_Decryption_PKCS1 \
   --key-id myFirstKey \
   --public-exponent AQAB \
   --prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
   --prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"

Key myFirstKey added to NetHSM localhost:8443

Törlés gomb#

A NetHSM törölheti a kulcsokat a Key Store-ból.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`--time`	A törlendő kulcs azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-key myFirstKey

Key myFirstKey deleted on NetHSM localhost:8443

Kulcsok listája#

A NetHSM képes listázni a Key Store-ban lévő összes rendelkezésre álló kulcsot.

A lista a következőképpen hívható le.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

választható opciók

Opció	Leírás
`-f`, `--filter` `TEXT`	A keresendő címke

Példa

$ nitropy nethsm --host $NETHSM_HOST list-keys

Keys on NetHSM localhost:8443:

Key ID          Algorithm       Mechanisms                                      Operations     Tags
-----------     ---------       ----------------------------------------------  ----------  ----
myFirstKey      RSA             RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256  0

Kulcs részletek megjelenítése#

A NetHSM részletesebb információkat is ki tud adni egy tárolt kulcsról.

A részletes információk az alábbiak szerint kérhetők le.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey

Key myFirstKey on NetHSM localhost:8443:
Type:            RSA
Mechanisms:      RSA_Decryption_RAW
Operations:      0
Modulus:         r62XHPWMDdEf2I1WEpSxGowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMPa7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5PGQ==
Public exponent: AQAB

Egy kulcs nyilvános kulcsa a következőképpen kérhető le.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key

A nyilvános kulcsot például az OpenSSL segítségével a következőképpen lehet ellenőrizni.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Példa

nitropy nethsm --host= $NETHSM_HOST get-key myFirstKey --public-key | openssl rsa -pubin -text

Public-Key: (2048 bit)
Modulus:
   00:af:ad:97:1c:f5:8c:0d:d1:1f:d8:8d:56:12:94:
   b1:1a:8c:18:fd:f4:05:f2:53:0f:b6:fd:c4:51:02:
   44:fc:f2:d6:06:f7:a1:17:c1:b4:41:8d:c0:55:56:
   77:7a:d9:50:5a:22:ab:78:eb:86:0f:1e:0d:af:63:
   c5:35:80:2e:e5:ff:89:3f:62:5c:d6:5b:05:34:e6:
   05:f0:3f:36:44:5e:35:30:1c:92:6d:04:7e:93:ee:
   38:37:fd:38:07:46:a1:4c:10:b1:5f:ea:2f:14:7e:
   d2:77:a4:b3:bf:13:0f:6b:b1:0a:be:16:8e:b0:b6:
   e0:ca:b3:e5:15:9c:50:9e:12:04:a8:94:42:4a:8e:
   43:45:10:fe:09:10:8f:a4:65:ec:55:78:05:6c:9a:
   cd:8a:58:76:d6:2f:0e:64:27:2d:e2:70:b6:39:2d:
   7d:d4:c7:83:2a:60:87:e2:d8:eb:7c:b3:30:38:a2:
   44:f3:32:a5:c2:17:6d:03:5b:8c:63:8f:7e:26:e6:
   82:e3:c1:94:16:c2:d8:c1:b2:e9:d7:bd:b7:52:fd:
   4f:8d:98:c2:e6:36:d4:85:27:03:d2:ef:48:fa:23:
   6b:ab:39:c0:7a:46:b8:75:6b:09:f6:38:00:fa:1e:
   a1:6e:54:a0:0a:cd:08:dc:c5:8e:b0:c5:f1:fd:8e:
   4f:19
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----

Kulcsok címkék#

A Címkék a kulcsok hozzáférési korlátozására használhatók, és opcionális funkció. Az Operátor felhasználók minden kulcsot láthatnak, de csak azokat használhatják, amelyeknek legalább egy megfelelő Tag van. Ha egy kulcshoz nincs Tag, akkor azt minden Operator felhasználó használhatja. Egy kulcsot nem módosíthat egy Operator felhasználó.

A Címkék használatáról az Üzemeltető fiókokon a Címkék felhasználóknak fejezetben olvashat.

Megjegyzés

A Címkéket korlátozások nélkül kezelik a Adminisztrátor szerepkörrel rendelkező felhasználók.

A Tag a következőképpen adható hozzá.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`--time`	A kulcs azonosítója a címke beállításához
`TAG`	A kulcsra beállított címke

Példa

$ nitropy nethsm --host $NETHSM_HOST add-key-tag myFirstKey berlin

Added tag berlin for key myFirstKey on the NetHSM localhost:8443

A Tag a következőképpen törölhető.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`--time`	A kulcs azonosítója, amelyre a címkét be kell állítani.
`TAG`	A kulcsra beállított címke.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-key-tag myFirstKey berlin

Deleted tag berlin for key myFirstKey on the NetHSM localhost:8443

Kulcsfontosságú tanúsítványok#

Lehetőség van a NetHSM-en tárolt kulcsokhoz tanúsítványok beállítására és lekérdezésére.

A támogatott MIME típusok a következők.

application/x-pem-file
application/x-x509-ca-cert<x>
application/pgp-keys

A tanúsítványt a következőképpen lehet beállítani.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A kulcs azonosítója, amelyhez a tanúsítványt be kell állítani.

választható opciók

Opció	Leírás
`-m`, `--mechanism` `MECHANISM`	A tanúsítvány MIME típusa. A rendelkezésre álló MIME-típusok a fenti listában szerepelnek.

érvek

Érv	Leírás
`FILENAME`	Tanúsítvány fájl

Példa

$ nitropy nethsm --host $NETHSM_HOST set-certificate --key-id myFirstKey --mime-type application/x-pem-file /tmp/cert.pem

Updated the certificate for key myFirstKey on NetHSM localhost:8443

A tanúsítványt a következőképpen lehet lekérni.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Annak a kulcsnak az azonosítója, amelyhez a tanúsítványt le kell kérni.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-certificate --key-id myFirstKey

Kulcs-tanúsítvány aláírási kérelmek#

A NetHSM támogatja a tárolt kulcsokhoz CSR (Certificate Signing Requests) generálását.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A kulcs azonosítója, amelyhez a CSR-t generálni kell.
`--country` `TEXT`	Az ország neve
`--state-or-province` `TEXT`	Az állam vagy tartomány neve
`--locality` `TEXT`	A helység neve
`--organization` `TEXT`	A szervezet neve
`--organizational-unit` `TEXT` ``	A szervezeti egység neve
`--common-name` `TEXT`	A közös név
`--email-address` `TEXT`	Az e-mail cím

Példa

$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name=nitrokey.com --email-address="info@nitrokey.com"

Kulcsműveletek#

Titkosítás#

A NetHSM képes titkosítani a Key Store oldalon tárolt szimmetrikus kulcsok adatait. Ezzel szemben a NetHSM-en nem lehet aszimmetrikus kulcsokkal adatokat titkosítani, mivel a nyilvános kulcsú kriptográfiában a nyilvános kulcsot mindenki számára hozzáférhetővé kell tenni. Aszimmetrikus kulcsok esetében a NetHSM biztosítja a nyilvános kulcsot, amelyet külső eszközzel lehet titkosításra használni. Kérjük, olvassa el a Show Key Details című részt, ahol többet megtudhat arról, hogyan lehet lekérdezni egy kulcs nyilvános kulcsát a Key Store oldalon.

Az adatok szimmetrikus kulcs esetén a következőképpen titkosíthatók.

$ nitropy nethsm --host $NETHSM_HOST encrypt -k myFirstKey -d "TmV0SFNNIHJ1bGV6enp6enp6enp6enp6enp6enp6IQo=" -m AES_CBC -iv "aYlwUI4A9zL9tts4dMAq+A=="

Encrypted: Uk+9pgucdxTnbyIb/6+BDJef+HfRWhw+Eg3RcCvyHaU=
Initialization vector: aYlwUI4A9zL9tts4dMAq+A==

Ez kiírja a titkosított és base64 kódolt üzenetet NetHSM rulezzzzzzzzzzzzzzzzzzz!, és az inicializációs vektort.

Az adatok aszimmetrikus kulcsok esetén az OpenSSL segítségével a következőképpen titkosíthatók.

$ echo 'NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.pem | base64 > data.crypt

Ez a NetHSM rulez! titkosított és base64 kódolt üzenetet írja a data.crypt fájlba, a public.pem nyilvános kulcsának felhasználásával.

Dekódolás#

A NetHSM képes visszafejteni a NetHSM-en található Key Store-ban tárolt magánkulcs adatait. Ez a példa az előző fejezetben szereplő titkosított üzenetet használja Encrypt.

A támogatott dekódolási módok a következők.

TAG
PKCS1<x>
FILENAME
--network
OAEP_SHA224<x>
OAEP_SHA224<x>
OAEP_SHA224<x>
OAEP_SHA224<x>
USER_ID

Az adatok a következőképpen dekódolhatók.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Az adatszélesség dekódolásához használt kulcs azonosítója
`-d`, `--data` `TEXT`	A titkosított adatok Base64 kódolásban
`-d`, `--data` `TEXT`	A dekódolási mód. A rendelkezésre álló módok a fenti listában szerepelnek.

Példa

$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d

NetHSM rulez!

Jelentkezzen a címen.#

A NetHSM képes aláírni a NetHSM-en található Key Store-ban tárolt magánkulcshoz tartozó adatokat. Az RSA és ECDSA kulccsal történő aláíráshoz először egy digestet kell kiszámítani.

A digest kiszámításához először az adatokra van szükség. Az üzenet létrehozása a következőképpen történik.

$ echo 'NetHSM rulez!' > data

A kivonatot az OpenSSL a következőképpen számítja ki.

$ openssl dgst -sha256 -binary data | base64 > data.digest

A támogatott aláírási módok a következők.

PKCS1<x>
USER_ID
FILENAME
Curve25519<x>
Curve25519<x>
Curve25519<x>
Curve25519<x>
PKCS1<x>
PKCS1<x>

A kivonatból a következőképpen hozható létre aláírás.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Az adatszélesség aláírására szolgáló kulcs azonosítója
`-d`, `--data` `TEXT`	Az aláírandó adatok Base64 kódolással kódolva
`-d`, `--data` `TEXT`	A jelzési mód

Példa

$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PKCS1 -d "$(cat data.digest)" | base64 -d > data.sig

A létrehozott aláírás az OpenSSL segítségével a következőképpen ellenőrizhető.

$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data

Verified OK

Random#

A NetHSM véletlenszerű bájtokat tud Base64 karakterlánc formájában megadni.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

érvek

Érv	Leírás
`--time`	Leolvasandó bájtok

Példa

nitropy nethsm --host $NETHSM_HOST random 4

94A2rg==