Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Interpretación de los registros de auditoría de HSM
Los eventos de los registros de auditoría del HSM tienen campos estándar. Algunos tipos de eventos contienen otros campos que capturan información útil sobre el evento. Por ejemplo, los eventos de inicio de sesión y administración de usuarios contienen el nombre del usuario y el tipo de usuario. Los comandos de administración de claves contienen el identificador de la clave.
Algunos de los campos proporcionan información importante. Opcode identifica el comando de administración que se está registrando. Sequence No identifica un evento de la secuencia de registros e indica el orden en que se registró.
Por ejemplo, el siguiente evento de ejemplo es el segundo evento (Sequence No:
0x1) de la secuencia de registros de un HSM. Muestra el HSM que generó una clave de cifrado de contraseña, lo que forma parte de la rutina de inicio.
Time: 12/19/17 21:01:17.140812, usecs:1513717277140812 Sequence No : 0x1 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_GEN_PSWD_ENC_KEY (0x1d) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
Los siguientes campos son comunes a todos los AWS CloudHSM eventos del registro de auditoría.
- Tiempo
-
Hora a la que tuvo lugar el evento en la zona horaria UTC. La hora se muestra en lenguaje natural y en formato Unix en microsegundos.
- Reboot counter (Contador de reinicios)
-
Contador ordinal persistente de 32 bits que aumenta cuando el hardware del HSM se reinicia.
Todos los eventos de una secuencia de registros tienen el mismo valor de contador de reinicios. Sin embargo, el contador de reinicios podría no ser el único en una secuencia de registros, ya que podría haber otros en las distintas instancias del HSM del mismo clúster.
- Sequence No (Número de secuencia)
-
Contador ordinal de 64 bits que aumenta con cada evento del registro. El primer evento de cada secuencia de registros tiene el número de secuencia 0x0. No debe haber espacios en los valores de
Sequence No. El número de secuencia solamente es único dentro de una secuencia de registros. - Command type (Tipo de comando)
-
Valor hexadecimal que representa la categoría del comando. Los comandos de las secuencias de registros de AWS CloudHSM tienen el tipo de comandos
CN_MGMT_CMD(0x0) oCN_CERT_AUTH_CMD(0x9). - Opcode
-
Identifica el comando de administración ejecutado. Para obtener una lista de
Opcodelos valores de los registros de AWS CloudHSM auditoría, consulteReferencia del registro de auditoría de HSM. - Session handle (Identificador de sesión)
-
Identifica la sesión en la que se ejecutó el comando y se registró el evento.
- Respuesta
-
Registra la respuesta del comando de administración. El campo
Response, tendrá los valoresSUCCESSyERROR. - Tipo de registro
-
Indica el tipo de AWS CloudHSM registro del registro que registró el comando.
-
MINIMAL_LOG_ENTRY (0) -
MGMT_KEY_DETAILS_LOG (1) -
MGMT_USER_DETAILS_LOG (2) -
GENERIC_LOG
-
Ejemplos de eventos de registro de auditoría
Los eventos de una secuencia de registros recopilan el historial del HSM, desde su creación hasta su eliminación. Puede utilizar el registro para revisar el ciclo de vida de los HSM y obtener información detallada acerca de su funcionamiento. Cuando interprete los eventos, tenga en cuenta el valor de Opcode, que indica la acción o el comando de administración, y el valor de Sequence No, que indica el orden de los eventos.
Temas
- Ejemplo: Inicialización del primer HSM de un clúster
- Eventos de inicio y cierre de sesión
- Ejemplo: Creación y eliminación de usuarios
- Ejemplo: Creación y eliminación de un par de claves
- Ejemplo: Creación y sincronización de una clave
- Ejemplo: Exportación de una clave
- Ejemplo: Importación de una clave
- Ejemplo: Compartir y dejar de compartir una clave
Ejemplo: Inicialización del primer HSM de un clúster
La secuencia de registros del primer HSM de cada clúster es muy diferente de la de los demás HMS del clúster. El registro de auditoría del primer HSM de cada clúster recopila su creación e inicialización. Los registros de otros HSM del clúster generados a partir de copias de seguridad comienzan con un evento de inicio de sesión.
importante
Las siguientes entradas de inicialización no aparecerán en los CloudWatch registros de los clústeres inicializados antes del lanzamiento de la función de registro de auditorías de CloudHSM (30 de agosto de 2018). Para obtener más información, consulte el Historial de revisión.
Los siguientes eventos de ejemplo aparecen en la secuencia de registros del primer HSM de un clúster. El primer evento del registro, el que tiene el valor de Sequence No 0x0, representa el comando para inicializar el HSM (CN_INIT_TOKEN). La respuesta indica que el comando se ha realizado correctamente (Response : 0: HSM Return:
SUCCESS).
Time: 12/19/17 21:01:16.962174, usecs:1513717276962174 Sequence No : 0x0 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INIT_TOKEN (0x1) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
El segundo evento de esta secuencia de registros de ejemplo (Sequence No 0x1) registra el comando para crear la clave de cifrado de contraseñas que el HSM utiliza (CN_GEN_PSWD_ENC_KEY).
Esta secuencia de inicio es habitual entre los primeros HSM de cada clúster. Como los siguientes HSM del mismo clúster son clones del primero, utilizan la misma clave de cifrado de contraseñas.
Time: 12/19/17 21:01:17.140812, usecs:1513717277140812 Sequence No : 0x1 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_GEN_PSWD_ENC_KEY (0x1d) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
El tercer evento de esta secuencia de registros de ejemplo (Sequence No 0x2) es la creación del usuario de dispositivos (AU), que es el servicio AWS CloudHSM . Los eventos que implican a usuarios de HSM contienen campos adicionales para el nombre de usuario y el tipo de usuario.
Time: 12/19/17 21:01:17.174902, usecs:1513717277174902 Sequence No : 0x2 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_CREATE_APPLIANCE_USER (0xfc) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : app_user User Type : CN_APPLIANCE_USER (5)
El cuarto evento de esta secuencia de registros de ejemplo (Sequence No 0x3) registra el evento CN_INIT_DONE, que completa la inicialización del HSM.
Time: 12/19/17 21:01:17.298914, usecs:1513717277298914 Sequence No : 0x3 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INIT_DONE (0x95) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
Puede seguir el resto de eventos en la secuencia de inicio. Estos eventos podrían incluir varios eventos de inicio y cierre de sesión y la generación de la clave de cifrado de claves (KEK). El siguiente evento registra el comando que cambia la contraseña del responsable de criptografía previa (PRECO). Este comando activa el clúster.
Time: 12/13/17 23:04:33.846554, usecs:1513206273846554 Sequence No: 0x1d Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_CHANGE_PSWD (0x9) Session Handle: 0x2010003 Response: 0:HSM Return: SUCCESS Log type: MGMT_USER_DETAILS_LOG (2) User Name: admin User Type: CN_CRYPTO_PRE_OFFICER (6)
Eventos de inicio y cierre de sesión
Cuando interprete el registro de auditoría, tenga en cuenta los eventos que registran inicios y cierres de sesión de los usuarios en HSM. Estos eventos le ayudan a determinar qué usuario es responsable de los comandos de administración de usuario que aparecen en orden entre los comandos de inicio y cierre de sesión.
Por ejemplo, esta entrada del registro recopila un inicio de sesión de un responsable de criptografía llamado admin. El número de secuencia, 0x0, indica que este es el primer evento de esta secuencia de registros.
Cuando un usuario inicia sesión en un HSM, los demás HSM del clúster también registran un evento de inicio de sesión para el usuario. Puede buscar los eventos de inicio de sesión correspondientes en las secuencias de registros de otros HSM del clúster poco después del evento de inicio de sesión inicial.
Time: 01/16/18 01:48:49.824999, usecs:1516067329824999 Sequence No : 0x0 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7014006 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : admin User Type : CN_CRYPTO_OFFICER (2)
El siguiente evento de ejemplo recopila el cierre de sesión del responsable de criptografía admin. El número de secuencia, 0x2, indica que este es el tercer evento de esta secuencia de registros.
Si el usuario conectado cierra la sesión sin desconectarse, la secuencia de registros contendrá un evento CN_APP_FINALIZE o de cierre de sesión (CN_SESSION_CLOSE) en lugar de un evento CN_LOGOUT. A diferencia del evento de inicio de sesión, este cierre de sesión solo suele registrarse en el HSM que ejecuta el comando.
Time: 01/16/18 01:49:55.993404, usecs:1516067395993404 Sequence No : 0x2 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGOUT (0xe) Session Handle : 0x7014000 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : admin User Type : CN_CRYPTO_OFFICER (2)
Si se produce un error al intentar iniciar sesión porque el nombre de usuario no es válido, el HSM registra un evento CN_LOGIN con el nombre y el tipo de usuario proporcionados en el comando de inicio de sesión. La respuesta mostrará el mensaje de error 157, que indica que el nombre de usuario no existe.
Time: 01/24/18 17:41:39.037255, usecs:1516815699037255 Sequence No : 0x4 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0xc008002 Response : 157:HSM Error: user isn't initialized or user with this name doesn't exist Log type : MGMT_USER_DETAILS_LOG (2) User Name : ExampleUser User Type : CN_CRYPTO_USER (1)
Si se produce un error al intentar iniciar sesión porque la contraseña no es válida, el HSM registra un evento CN_LOGIN con el nombre y el tipo de usuario proporcionados en el comando de inicio de sesión. La respuesta muestra el mensaje de error con el código RET_USER_LOGIN_FAILURE.
Time: 01/24/18 17:44:25.013218, usecs:1516815865013218 Sequence No : 0x5 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0xc008002 Response : 163:HSM Error: RET_USER_LOGIN_FAILURE Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
Ejemplo: Creación y eliminación de usuarios
En este ejemplo, se muestran los eventos de registro que se escriben cuando un responsable de criptografía (CO) crea y elimina usuarios.
El primer evento registra un CO, admin, que inicia sesión en el HSM. El número de secuencia, 0x0, indica que se trata del primer evento de la secuencia de registros. El nombre y el tipo de usuario que ha iniciado sesión se incluyen en el evento.
Time: 01/16/18 01:48:49.824999, usecs:1516067329824999 Sequence No : 0x0 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7014006 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : admin User Type : CN_CRYPTO_OFFICER (2)
El siguiente evento de la secuencia de registros (con el número 0x1) registra el CO que crea un nuevo usuario de criptografía (CU). El nombre y el tipo del nuevo usuario se incluyen en el evento.
Time: 01/16/18 01:49:39.437708, usecs:1516067379437708 Sequence No : 0x1 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_CREATE_USER (0x3) Session Handle : 0x7014006 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : bob User Type : CN_CRYPTO_USER (1)
A continuación, el CO crea otro responsable de criptografía, alice. El número de secuencia indica que esta acción va detrás de la anterior sin que haya ninguna acción en medio.
Time: 01/16/18 01:49:55.993404, usecs:1516067395993404 Sequence No : 0x2 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_CREATE_CO (0x4) Session Handle : 0x7014007 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : alice User Type : CN_CRYPTO_OFFICER (2)
Después, el CO admin inicia sesión y elimina al responsable de criptografía llamado alice. El HSM registra un evento CN_DELETE_USER. El nombre y el tipo del usuario eliminado se incluyen en el evento.
Time: 01/23/18 19:58:23.451420, usecs:1516737503451420 Sequence No : 0xb Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_DELETE_USER (0xa1) Session Handle : 0x7014007 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : alice User Type : CN_CRYPTO_OFFICER (2)
Ejemplo: Creación y eliminación de un par de claves
En este ejemplo, se muestran los eventos que se registran en un registro de auditoría de HSM al crear y eliminar un par de claves.
El siguiente evento registra el usuario de criptografía (CU) crypto_user, que inicia sesión en la HSM.
Time: 12/13/17 23:09:04.648952, usecs:1513206544648952 Sequence No: 0x28 Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_LOGIN (0xd) Session Handle: 0x2014005 Response: 0:HSM Return: SUCCESS Log type: MGMT_USER_DETAILS_LOG (2) User Name: crypto_user User Type: CN_CRYPTO_USER (1)
A continuación, el CU genera un par de claves (CN_GENERATE_KEY_PAIR). La clave privada tiene el identificador de clave 131079. La clave pública tiene el identificador de clave 131078.
Time: 12/13/17 23:09:04.761594, usecs:1513206544761594 Sequence No: 0x29 Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_GENERATE_KEY_PAIR (0x19) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle: 131079 Public Key Handle: 131078
El CU elimina inmediatamente el par de claves. Un evento CN_DESTROY_OBJECT registra la eliminación de la clave pública (131078).
Time: 12/13/17 23:09:04.813977, usecs:1513206544813977 Sequence No: 0x2a Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_DESTROY_OBJECT (0x11) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle: 131078 Public Key Handle: 0
Después, un segundo evento CN_DESTROY_OBJECT registra la eliminación de la clave privada (131079).
Time: 12/13/17 23:09:04.815530, usecs:1513206544815530 Sequence No: 0x2b Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_DESTROY_OBJECT (0x11) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle: 131079 Public Key Handle: 0
Por último, el CU cierra la sesión.
Time: 12/13/17 23:09:04.817222, usecs:1513206544817222 Sequence No: 0x2c Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_LOGOUT (0xe) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_USER_DETAILS_LOG (2) User Name: crypto_user User Type: CN_CRYPTO_USER (1)
Ejemplo: Creación y sincronización de una clave
En este ejemplo se muestra el efecto de crear una clave en un clúster con varias HSM. La clave se genera en un HSM, se extrae del HSM como un objeto enmascarado y se inserta así en los demás HSM.
nota
Las herramientas de cliente podrían dar error al sincronizar la clave. O bien el comando podría incluir el parámetro min_srv, que sincroniza la clave únicamente en el número de HSM especificado. En cualquier caso, el AWS CloudHSM servicio sincroniza la clave con los demás HSM del clúster. Como los HSM solamente registran los comandos de administración del cliente en sus registros, la sincronización del servidor no se escribe en el registro de HSM.
En primer lugar, observe la secuencia de registros del HSM que recibe y ejecuta los comandos. La secuencia de registro tiene como nombre el ID del HSM, hsm-abcde123456, pero este ID no aparece en los eventos de registro.
Primero, el usuario de criptografía (CU) testuser inicia sesión en el HSM hsm-abcde123456.
Time: 01/24/18 00:39:23.172777, usecs:1516754363172777 Sequence No : 0x0 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0xc008002 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
La CU ejecuta un exSymKeycomando para generar una clave simétrica. El HSM hsm-abcde123456 genera una clave simétrica con el identificador de clave 262152. El HSM registra un evento CN_GENERATE_KEY en su registro.
Time: 01/24/18 00:39:30.328334, usecs:1516754370328334 Sequence No : 0x1 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_GENERATE_KEY (0x17) Session Handle : 0xc008004 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 262152 Public Key Handle : 0
El siguiente evento de la secuencia de registros de hsm-abcde123456 registra el primer paso del proceso de sincronización. La nueva clave (identificador de clave 262152) se extrae del HSM como un objeto enmascarado.
Time: 01/24/18 00:39:30.330956, usecs:1516754370330956 Sequence No : 0x2 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0) Session Handle : 0xc008004 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 262152 Public Key Handle : 0
Ahora, observe la secuencia de registros del HSM hsm-zyxwv987654, otro HSM del mismo clúster. Esta secuencia de registros también contiene un evento de inicio de sesión del CU testuser. El valor de la hora indica que tuvo lugar poco después de que el usuario iniciara sesión en el HSM hsm-abcde123456.
Time: 01/24/18 00:39:23.199740, usecs:1516754363199740 Sequence No : 0xd Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7004004 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
La secuencia de registros de este HSM no tiene ningún evento CN_GENERATE_KEY. Sin embargo, tiene un evento que registra la sincronización de la clave con este HSM. El evento CN_INSERT_MASKED_OBJECT_USER registra la recepción de la clave 262152 como un objeto enmascarado. Ahora, la clave 262152 existe en los dos HSM del clúster.
Time: 01/24/18 00:39:30.408950, usecs:1516754370408950 Sequence No : 0xe Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 262152 Public Key Handle : 0
Cuando el usuario CU cierra sesión, este evento CN_LOGOUT solamente aparece en la secuencia de registros del HSM que recibió los comandos.
Ejemplo: Exportación de una clave
En este ejemplo, se muestran los eventos de registro de auditoría que se registran cuando un usuario de criptografía (CU) exporta las claves de un clúster con varios HSM.
El evento siguiente registra el CU (testuser), que inicia sesión en key_mgmt_util.
Time: 01/24/18 19:42:22.695884, usecs:1516822942695884 Sequence No : 0x26 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7004004 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
La CU ejecuta un exSymKeycomando para exportar la clave7, una clave AES de 256 bits. El comando utiliza la clave 6, que es una clave AES de 256 bits de los HSM, como clave de encapsulamiento.
El HSM que recibe el comando registra un evento CN_WRAP_KEY de la clave 7, la clave que se va a exportar.
Time: 01/24/18 19:51:12.860123, usecs:1516823472860123 Sequence No : 0x27 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_WRAP_KEY (0x1a) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 7 Public Key Handle : 0
A continuación, el HSM registra un evento CN_NIST_AES_WRAP para la clave de encapsulamiento, la clave 6. La clave se encapsula y de inmediato se desencapsula de nuevo, pero el HSM solamente registra un evento.
Time: 01/24/18 19:51:12.905257, usecs:1516823472905257 Sequence No : 0x28 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_NIST_AES_WRAP (0x1e) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 6 Public Key Handle : 0
El comando exSymKey escribe la clave exportada en un archivo, pero no cambia la clave del HSM. Por tanto, no habrá eventos correspondientes en los registros de otros HSM del clúster.
Ejemplo: Importación de una clave
En este ejemplo, se muestran los eventos de registro de auditoría que se escriben cuando se importan claves en los HSM de un clúster. En este ejemplo, el usuario criptográfico (CU) utiliza el imSymKeycomando para importar una clave AES a los HSM. El comando utiliza la clave 6 como clave de encapsulamiento.
El HSM que recibe el comando primero registra un evento CN_NIST_AES_WRAP para la clave 6, la clave de encapsulamiento.
Time: 01/24/18 19:58:23.170518, usecs:1516823903170518 Sequence No : 0x29 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_NIST_AES_WRAP (0x1e) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 6 Public Key Handle : 0
A continuación, el HSM registra un evento CN_UNWRAP_KEY, que representa la operación de importación. A la clave importada se le asigna el identificador de clave 11.
Time: 01/24/18 19:58:23.200711, usecs:1516823903200711 Sequence No : 0x2a Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_UNWRAP_KEY (0x1b) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 11 Public Key Handle : 0
Cuando se genera o importa una nueva clave, las herramientas del cliente intentan sincronizar automáticamente la nueva clave con otros HSM del clúster. En este caso, el HSM registra un evento CN_EXTRACT_MASKED_OBJECT_USER cuando la clave 11 se extrae del HSM como un objeto enmascarado.
Time: 01/24/18 19:58:23.203350, usecs:1516823903203350 Sequence No : 0x2b Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 11 Public Key Handle : 0
La secuencia de registros de otros HSM del clúster refleja la llegada de la nueva clave importada.
Por ejemplo, este evento se registró en la secuencia de registros de otro HSM del mismo clúster. Este evento CN_INSERT_MASKED_OBJECT_USER registra la llegada de un objeto enmascarado que representa la clave 11.
Time: 01/24/18 19:58:23.286793, usecs:1516823903286793 Sequence No : 0xb Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1) Session Handle : 0xc008004 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 11 Public Key Handle : 0
Ejemplo: Compartir y dejar de compartir una clave
En este ejemplo, se muestra el evento del registro de auditoría que se genera cuando un usuario de criptografía (CU) comparte o deja de compartir una clave privada de ECC con otros usuarios de criptografía. El CU utiliza el comando shareKey y proporciona el identificador de clave, el ID de usuario y el valor 1 para compartir la clave o el valor 0 para dejar de compartirla.
En el siguiente ejemplo, el HSM que recibe el comando registra un evento CM_SHARE_OBJECT que representa la operación de compartición.
Time: 02/08/19 19:35:39.480168, usecs:1549654539480168 Sequence No : 0x3f Reboot counter : 0x38 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_SHARE_OBJECT (0x12) Session Handle : 0x3014007 Response : 0:HSM Return: SUCCESS Log type : UNKNOWN_LOG_TYPE (5)
