Művelet#

Ez a fejezet a Administrator és Operator szerepkörrel rendelkező felhasználók üzemeltetési feladatait írja le. A szerepkörökről bővebben a Rollák fejezetben olvashat.

Fontos

Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.

Kulcskezelés#

Kulcs generálása#

A NetHSM képes kulcspárokat generálni. Ajánlott a kulcs azonosítója opció megadása, hogy kifejező nevet adjon neki.

A támogatott kulcstípusok és a hozzájuk tartozó mechanizmusok a következők.

Kulcs típusa	Mechanizmusok
`TAG`	`RSA_Decryption_RAW` `RSA_Decryption_PKCS1` `RSA_Decryption_OAEP_MD5` `RSA_Decryption_OAEP_SHA1` `RSA_Decryption_OAEP_SHA224` `RSA_Decryption_OAEP_SHA256` `RSA_Decryption_OAEP_SHA384` `RSA_Decryption_OAEP_SHA512` `RSA_Signature_PKCS1` `RSA_Signature_PSS_MD5` `RSA_Signature_PSS_SHA1` `` `RSA_Signature_PSS_SHA224` `RSA_Signature_PSS_SHA256` `RSA_Signature_PSS_SHA384` `RSA_Signature_PSS_SHA512`
`Curve25519<x>`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`AES_Encryption_CBC` `AES_Decryption_CBC`

A kulcs a következőképpen generálható.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-p`, `--port` `INTEGER`	A generált kulcs típusa. A `KEYTYPE` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-m`, `--mechanism` `MECHANISM`	A generált kulcs mechanizmusai. A `MECHANISM` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-l`, `--length` `INTEGER`	A generált kulcs hossza

választható opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A generált kulcs azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey

Key myFirstKey generated on NetHSM localhost:8443

Importálási kulcs#

A NetHSM képes a meglévő magánkulcsok importálására a Key Store-ba.

A támogatott kulcstípusok és a hozzájuk tartozó mechanizmusok a következők.

Kulcs típusa	Mechanizmusok
`TAG`	`RSA_Decryption_RAW` `RSA_Decryption_PKCS1` `RSA_Decryption_OAEP_MD5` `RSA_Decryption_OAEP_SHA1` `RSA_Decryption_OAEP_SHA224` `RSA_Decryption_OAEP_SHA256` `RSA_Decryption_OAEP_SHA384` `RSA_Decryption_OAEP_SHA512` `RSA_Signature_PKCS1` `RSA_Signature_PSS_MD5` `RSA_Signature_PSS_SHA1` `` `RSA_Signature_PSS_SHA224` `RSA_Signature_PSS_SHA256` `RSA_Signature_PSS_SHA384` `RSA_Signature_PSS_SHA512`
`Curve25519<x>`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`EdDSA_Signature<x>`
`USER_ID`	`AES_Encryption_CBC` `AES_Decryption_CBC`

Az importálás a következőképpen kezdeményezhető.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-p`, `--port` `INTEGER`	A generált kulcs típusa. A `KEYTYPE` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-m`, `--mechanism` `MECHANISM`	A generált kulcs mechanizmusai. A `MECHANISM` argumentum lehetséges értékei a fenti táblázatban találhatók.
`-u`, `--user-id` `TEXT`	Az RSA kulcsok p prímje, base64-kódolva
`-u`, `--user-id` `TEXT`	Az RSA kulcsok q prímje, base64-kódolva
`-e`, `--public-exponent` `TEXT`	Az RSA kulcsok nyilvános exponense, base64 kódolva
`-d`, `--data` `TEXT`	Az ED25519 vagy ECDSA_* kulcsok kulcsadatai, base64-kódolva.

választható opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Az új kulcs azonosítója
`--tags` `TEXT`	Az új kulcs címkéje

Példa

$ nitropy nethsm --host $NETHSM_HOST add-key \
   --type RSA \
   --mechanism RSA_Signature_PSS_SHA256 \
   --mechanism RSA_Decryption_PKCS1 \
   --key-id myFirstKey \
   --public-exponent AQAB \
   --prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
   --prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"

Key myFirstKey added to NetHSM localhost:8443

Törlés gomb#

A NetHSM törölheti a kulcsokat a Key Store-ból.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`--time`	A törlendő kulcs azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-key myFirstKey

Key myFirstKey deleted on NetHSM localhost:8443

Kulcsok listája#

A NetHSM képes listázni a Key Store-ban lévő összes rendelkezésre álló kulcsot.

A lista a következőképpen hívható le.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

választható opciók

Opció	Leírás
`-f`, `--filter` `TEXT`	A keresendő címke

Példa

$ nitropy nethsm --host $NETHSM_HOST list-keys

Keys on NetHSM localhost:8443:

Key ID          Type       Mechanisms                                      Operations  Tags
-----------     ----       ----------------------------------------------  ----------  ----
myFirstKey      RSA        RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256  0

Kulcs részletek megjelenítése#

A NetHSM részletesebb információkat is ki tud adni egy tárolt kulcsról.

A részletes információk az alábbiak szerint kérhetők le.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey

Key myFirstKey on NetHSM localhost:8443:
Type:            RSA
Mechanisms:      RSA_Decryption_RAW
Operations:      0
Modulus:         r62XHPWMDdEf2I1WEpSxGowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMPa7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5PGQ==
Public exponent: AQAB

Egy kulcs nyilvános kulcsa a következőképpen kérhető le. PKCS#8 formátumban.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key

A nyilvános kulcsot például az OpenSSL segítségével a következőképpen lehet ellenőrizni.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Példa

nitropy nethsm --host= $NETHSM_HOST get-key myFirstKey --public-key | openssl rsa -pubin -text

Public-Key: (2048 bit)
Modulus:
   00:af:ad:97:1c:f5:8c:0d:d1:1f:d8:8d:56:12:94:
   b1:1a:8c:18:fd:f4:05:f2:53:0f:b6:fd:c4:51:02:
   44:fc:f2:d6:06:f7:a1:17:c1:b4:41:8d:c0:55:56:
   77:7a:d9:50:5a:22:ab:78:eb:86:0f:1e:0d:af:63:
   c5:35:80:2e:e5:ff:89:3f:62:5c:d6:5b:05:34:e6:
   05:f0:3f:36:44:5e:35:30:1c:92:6d:04:7e:93:ee:
   38:37:fd:38:07:46:a1:4c:10:b1:5f:ea:2f:14:7e:
   d2:77:a4:b3:bf:13:0f:6b:b1:0a:be:16:8e:b0:b6:
   e0:ca:b3:e5:15:9c:50:9e:12:04:a8:94:42:4a:8e:
   43:45:10:fe:09:10:8f:a4:65:ec:55:78:05:6c:9a:
   cd:8a:58:76:d6:2f:0e:64:27:2d:e2:70:b6:39:2d:
   7d:d4:c7:83:2a:60:87:e2:d8:eb:7c:b3:30:38:a2:
   44:f3:32:a5:c2:17:6d:03:5b:8c:63:8f:7e:26:e6:
   82:e3:c1:94:16:c2:d8:c1:b2:e9:d7:bd:b7:52:fd:
   4f:8d:98:c2:e6:36:d4:85:27:03:d2:ef:48:fa:23:
   6b:ab:39:c0:7a:46:b8:75:6b:09:f6:38:00:fa:1e:
   a1:6e:54:a0:0a:cd:08:dc:c5:8e:b0:c5:f1:fd:8e:
   4f:19
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----

Kulcsok címkék#

A címkék a kulcsok finomabb hozzáférési korlátozásainak beállítására használhatók, és opcionális funkció. Egy vagy több Címke rendelhető egy kulcshoz. A üzemeltető felhasználók minden kulcsot láthatnak, de csak azokat használhatják, amelyekhez legalább egy megfelelő címke tartozik. Ha egy billentyűhöz nem tartozik címke, akkor azt minden Operator felhasználó használhatja. A Tag nem módosítható a Operator felhasználó által.

A Címkék használatáról az Üzemeltető fiókokon a Címkék felhasználóknak fejezetben olvashat.

Megjegyzés

A Címkéket korlátozások nélkül kezelik a Adminisztrátor szerepkörrel rendelkező felhasználók.

A Tag a következőképpen adható hozzá.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`--time`	A kulcs azonosítója a címke beállításához
`TAG`	A kulcsra beállított címke

Példa

$ nitropy nethsm --host $NETHSM_HOST add-key-tag myFirstKey berlin

Added tag berlin for key myFirstKey on the NetHSM localhost:8443

A Tag a következőképpen törölhető.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

érvek

Érv	Leírás
`--time`	A kulcs azonosítója, amelyre a címkét be kell állítani.
`TAG`	A kulcsra beállított címke.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-key-tag myFirstKey berlin

Deleted tag berlin for key myFirstKey on the NetHSM localhost:8443

Kulcsfontosságú tanúsítványok#

Lehetőség van a NetHSM-en tárolt kulcsokhoz tanúsítványok beállítására és lekérdezésére.

A támogatott MIME típusok a következők.

application/x-pem-file
application/x-x509-ca-cert<x>
application/pgp-keys

A tanúsítványt a következőképpen lehet beállítani.

Szükséges szerepkör

Ehhez a művelethez a Administrator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A kulcs azonosítója, amelyhez a tanúsítványt be kell állítani.

választható opciók

Opció	Leírás
`-m`, `--mechanism` `MECHANISM`	A tanúsítvány MIME típusa. A rendelkezésre álló MIME-típusok a fenti listában szerepelnek.

érvek

Érv	Leírás
`FILENAME`	Tanúsítvány fájl

Példa

$ nitropy nethsm --host $NETHSM_HOST set-certificate --key-id myFirstKey --mime-type application/x-pem-file /tmp/cert.pem

Updated the certificate for key myFirstKey on NetHSM localhost:8443

A tanúsítványt a következőképpen lehet lekérni.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Annak a kulcsnak az azonosítója, amelyhez a tanúsítványt le kell kérni.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-certificate --key-id myFirstKey

Kulcs-tanúsítvány aláírási kérelmek#

A NetHSM támogatja a tárolt kulcsokhoz CSR (Certificate Signing Requests) generálását.

Szükséges szerepkör

Ehhez a művelethez Administrator vagy Operator szerepkörrel történő hitelesítés szükséges.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A kulcs azonosítója, amelyhez a CSR-t generálni kell.
`--country` `TEXT`	Az ország neve
`--state-or-province` `TEXT`	Az állam vagy tartomány neve
`--locality` `TEXT`	A helység neve
`--organization` `TEXT`	A szervezet neve
`--organizational-unit` `TEXT` ``	A szervezeti egység neve
`--common-name` `TEXT`	A közös név
`--email-address` `TEXT`	Az e-mail cím

Példa

$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name=nitrokey.com --email-address="info@nitrokey.com"

Kulcsműveletek#

Titkosítás#

A NetHSM képes titkosítani a Key Store oldalon tárolt szimmetrikus kulcsok adatait. Ezzel szemben a NetHSM-en nem lehet aszimmetrikus kulcsokkal adatokat titkosítani, mivel a nyilvános kulcsú kriptográfiában a nyilvános kulcsot mindenki számára hozzáférhetővé kell tenni. Aszimmetrikus kulcsok esetében a NetHSM biztosítja a nyilvános kulcsot, amelyet külső eszközzel lehet titkosításra használni. Kérjük, olvassa el a Show Key Details című részt, ahol többet megtudhat arról, hogyan lehet lekérdezni egy kulcs nyilvános kulcsát a Key Store oldalon.

Az adatok szimmetrikus kulcs esetén a következőképpen titkosíthatók.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	A kulcs azonosítója, amellyel az adatokat titkosítani kell.
`-d`, `--data` `TEXT`	Az adatok Base64 kódolásban
`-m`, `--mode` `[AES_CBC]`	A titkosítási mód
`-iv`, `--initialization-vector` `TEXT`	Az inicializálási vektor Base64 kódolásban

Példa

$ nitropy nethsm --host $NETHSM_HOST encrypt -k myFirstKey -d "TmV0SFNNIHJ1bGV6enp6enp6enp6enp6enp6enp6IQo=" -m AES_CBC -iv "aYlwUI4A9zL9tts4dMAq+A=="

Encrypted: Uk+9pgucdxTnbyIb/6+BDJef+HfRWhw+Eg3RcCvyHaU=
Initialization vector: aYlwUI4A9zL9tts4dMAq+A==

Ez kiírja a titkosított és base64 kódolt üzenetet NetHSM rulezzzzzzzzzzzzzzzzzzz!, és az inicializációs vektort.

Az adatok aszimmetrikus kulcsok esetén az OpenSSL segítségével a következőképpen titkosíthatók.

$ echo 'NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.pem | base64 > data.crypt

Ez a NetHSM rulez! titkosított és base64 kódolt üzenetet írja a data.crypt fájlba, a public.pem nyilvános kulcsának felhasználásával.

Dekódolás#

A NetHSM képes visszafejteni a NetHSM-en található Key Store-ban tárolt magánkulcs adatait. Ez a példa az előző fejezetben szereplő titkosított üzenetet használja Encrypt.

A támogatott dekódolási módok a következők.

TAG
PKCS1<x>
FILENAME
--network
OAEP_SHA224<x>
OAEP_SHA224<x>
OAEP_SHA224<x>
OAEP_SHA224<x>
USER_ID

Az adatok a következőképpen dekódolhatók.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Az adatszélesség dekódolásához használt kulcs azonosítója
`-d`, `--data` `TEXT`	A titkosított adatok Base64 kódolásban
`-d`, `--data` `TEXT`	A dekódolási mód. A rendelkezésre álló módok a fenti listában szerepelnek.

Példa

$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d

NetHSM rulez!

Jelentkezzen a címen.#

A NetHSM képes aláírni a NetHSM-en található Key Store-ban tárolt magánkulcshoz tartozó adatokat. Az RSA és ECDSA kulccsal történő aláíráshoz először egy digestet kell kiszámítani.

A digest kiszámításához először az adatokra van szükség. Az üzenet létrehozása a következőképpen történik.

$ echo 'NetHSM rulez!' > data

A kivonatot az OpenSSL a következőképpen számítja ki.

$ openssl dgst -sha256 -binary data | base64 > data.digest

A támogatott aláírási módok a következők.

PKCS1<x>
USER_ID
FILENAME
Curve25519<x>
Curve25519<x>
Curve25519<x>
Curve25519<x>
PKCS1<x>
PKCS1<x>

A kivonatból a következőképpen hozható létre aláírás.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

Szükséges opciók

Opció	Leírás
`-k`, `--key-id` `TEXT`	Az adatszélesség aláírására szolgáló kulcs azonosítója
`-d`, `--data` `TEXT`	Az aláírandó adatok Base64 kódolással kódolva
`-d`, `--data` `TEXT`	A jelzési mód

Példa

$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PKCS1 -d "$(cat data.digest)" | base64 -d > data.sig

A létrehozott aláírás az OpenSSL segítségével a következőképpen ellenőrizhető.

$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data

Verified OK

Random#

A NetHSM véletlenszerű bájtokat tud Base64 karakterlánc formájában megadni.

Szükséges szerepkör

Ez a művelet Operator szerepkörrel történő hitelesítést igényel.

érvek

Érv	Leírás
`--time`	Leolvasandó bájtok

Példa

nitropy nethsm --host $NETHSM_HOST random 4

94A2rg==