Interpretar logs de auditoria do AWS CloudHSM
Os eventos nos logs de auditoria do HSM têm campos padrão. Alguns tipos de eventos têm campos adicionais que capturam informações úteis sobre o evento. Por exemplo, eventos de login de usuário e gerenciamento de usuários incluem o nome de usuário e o tipo do usuário. Os comandos de gerenciamento de chaves incluem o identificador de chaves.
Vários dos campos fornecem informações especialmente importantes. O Opcode
identifica o comando de gerenciamento que está sendo registrado. O Sequence No
identifica um evento no fluxo de logs e indica a ordem em que ele foi registrado.
Por exemplo, o evento de exemplo a seguir é o segundo evento (Sequence No:
0x1
) no fluxo de logs para um HSM. Ele mostra o HSM gerando uma chave de criptografia da senha, que faz parte da rotina de inicialização.
Time: 12/19/17 21:01:17.140812, usecs:1513717277140812 Sequence No : 0x1 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_GEN_PSWD_ENC_KEY (0x1d) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
Os campos a seguir são comuns para todos os eventos do AWS CloudHSM no log de auditoria.
- Tempo
-
A hora em que o evento ocorreu no fuso horário UTC. A hora é exibida como uma hora legível e hora Unix em microssegundos.
- Contador de reinicializações
-
Um contador ordinal persistente de 32 bits incrementado quando o hardware do HSM é reinicializado.
Todos os eventos em um fluxo de logs têm o mesmo valor do contador de reinicializações. No entanto, o contador de reinicializações pode não ser exclusivo de um fluxo de logs, porque ele pode ser diferente em diferentes instâncias do HSM no mesmo cluster.
- Número da sequência
-
Um contador ordinal de 64 bits incrementado para cada evento de log. O primeiro evento em cada fluxo de logs tem um número de sequência de 0x0. Não deve haver espaço nos valores de
Sequence No
. O número de sequência só é exclusivo em um fluxo de logs. - Tipo de comando
-
Um valor hexadecimal que representa a categoria do comando. Comandos nos fluxos de logs do AWS CloudHSM têm um tipo de comando de
CN_MGMT_CMD
(0x0) ouCN_CERT_AUTH_CMD
(0x9). - Opcode
-
Identifica o comando de gerenciamento executado. Para obter uma lista de valores de
Opcode
nos logs de auditoria do AWS CloudHSM, consulte Referência do log de auditoria do AWS CloudHSM. - Identificador da sessão
-
Identifica a sessão em que o comando foi executado e o evento foi registrado.
- Resposta
-
Registra a resposta ao comando de gerenciamento. Você pode pesquisar os valores
SUCCESS
eERROR
no campoResponse
. - Tipo de log
-
Indica o tipo de log do AWS CloudHSM que registrou o comando.
-
MINIMAL_LOG_ENTRY (0)
-
MGMT_KEY_DETAILS_LOG (1)
-
MGMT_USER_DETAILS_LOG (2)
-
GENERIC_LOG
-
Exemplos de eventos de log de auditoria
Os eventos em um fluxo de logs registram o histórico do HSM da criação à exclusão. Você pode usar o log para analisar o ciclo de vida dos HSMs e obter informações sobre a operação. Quando você interpretar os eventos, observe o Opcode
, que indica o comando de gerenciamento ou ação, e o Sequence No
, que indica a ordem dos eventos.
Tópicos
Exemplo: inicializar o primeiro HSM em um cluster
O fluxo de logs de auditoria para o primeiro HSM em cada cluster difere significativamente dos fluxos de log de outros HSMs no cluster. O log de auditoria do primeiro HSM em cada cluster registra a criação e a inicialização. Os logs de outros HSMs no cluster, que são gerados a partir de backups, começam com um evento de login.
Importante
As seguintes entradas de inicialização não serão exibidas nos logs de clusters do CloudWatch inicializados antes do lançamento do recurso de registro em log de auditoria do CloudHSM (30 de agosto de 2018). Para obter mais informações, consulte Histórico do documento.
Os eventos de exemplo a seguir aparecem no fluxo de logs do primeiro HSM em um cluster. O primeiro evento no log, aquele com Sequence No 0x0
, representa o comando para inicializar o HSM (CN_INIT_TOKEN
). A resposta indica que o comando foi bem-sucedido (Response : 0: HSM Return:
SUCCESS
).
Time: 12/19/17 21:01:16.962174, usecs:1513717276962174 Sequence No : 0x0 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INIT_TOKEN (0x1) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
O segundo evento neste fluxo de logs de exemplo (Sequence No 0x1
) registra o comando para criar a chave de criptografia de senha que o HSM usa (CN_GEN_PSWD_ENC_KEY
).
Esta é uma sequência de inicialização típica para o primeiro HSM em cada cluster. Como os HSMs subsequentes no mesmo cluster são clones do primeiro, eles usam a mesma chave de criptografia de senha.
Time: 12/19/17 21:01:17.140812, usecs:1513717277140812 Sequence No : 0x1 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_GEN_PSWD_ENC_KEY (0x1d) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
O terceiro evento neste fluxo de logs de exemplo (Sequence No 0x2
) é a criação do usuário do dispositivo (AU), que é o serviço AWS CloudHSM. Os eventos que envolvem os usuários do HSM incluem campos extras para o nome do usuário e o tipo de usuário.
Time: 12/19/17 21:01:17.174902, usecs:1513717277174902 Sequence No : 0x2 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_CREATE_APPLIANCE_USER (0xfc) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : app_user User Type : CN_APPLIANCE_USER (5)
O quarto evento neste fluxo de logs de exemplo (Sequence No 0x3
) registra o evento CN_INIT_DONE
, que conclui a inicialização do HSM.
Time: 12/19/17 21:01:17.298914, usecs:1513717277298914 Sequence No : 0x3 Reboot counter : 0xe8 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INIT_DONE (0x95) Session Handle : 0x1004001 Response : 0:HSM Return: SUCCESS Log type : MINIMAL_LOG_ENTRY (0)
Você pode seguir os demais eventos na sequência de inicialização. Esses eventos podem incluir vários eventos de login e de logout e a geração da chave de criptografia de chaves (KEK- key encryption key). O evento a seguir registra o comando que altera a senha do responsável pela pré-criptografia (PRECO). Esse comando ativa o cluster.
Time: 12/13/17 23:04:33.846554, usecs:1513206273846554 Sequence No: 0x1d Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_CHANGE_PSWD (0x9) Session Handle: 0x2010003 Response: 0:HSM Return: SUCCESS Log type: MGMT_USER_DETAILS_LOG (2) User Name: admin User Type: CN_CRYPTO_PRE_OFFICER (6)
Eventos de login e logout
Ao interpretar o log de auditoria, observe eventos que registram usuários que fazem login e logout do HSM. Esses eventos ajudam você a determinar qual usuário é responsável por comandos de gerenciamento que aparecem na sequência entre os comandos de login e logout.
Por exemplo, essa entrada de log registra um login por um responsável pela criptografia chamado admin
. O número de sequência, 0x0
, indica que esse é o primeiro evento neste fluxo de logs.
Quando um usuário faz login em um HSM, os outros HSMs no cluster também registram um evento de login para o usuário. Você pode encontrar os eventos de login correspondentes nos fluxos de logs de outros HSMs no cluster logo após o evento de login inicial.
Time: 01/16/18 01:48:49.824999, usecs:1516067329824999 Sequence No : 0x0 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7014006 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : admin User Type : CN_CRYPTO_OFFICER (2)
O evento de exemplo a seguir registra o logout do responsável pela criptografia admin
. O número de sequência, 0x2
, indica que esse é o terceiro evento no fluxo de logs.
Se o usuário conectado fechar a sessão sem fazer logout, o fluxo de logs incluirá um CN_APP_FINALIZE
, ou evento de fechamento da sessão (CN_SESSION_CLOSE
), em vez de um evento CN_LOGOUT
. Diferentemente do evento de login, esse evento de logout normalmente só será registrado pelo HSM que executar o comando.
Time: 01/16/18 01:49:55.993404, usecs:1516067395993404 Sequence No : 0x2 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGOUT (0xe) Session Handle : 0x7014000 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : admin User Type : CN_CRYPTO_OFFICER (2)
Se uma tentativa de login falhar porque o nome do usuário é inválido, o HSM registrará um evento CN_LOGIN
com o nome de usuário e o tipo fornecidos no comando de login. A resposta exibe a mensagem de erro 157, que explica que o nome do usuário não existe.
Time: 01/24/18 17:41:39.037255, usecs:1516815699037255 Sequence No : 0x4 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0xc008002 Response : 157:HSM Error: user isn't initialized or user with this name doesn't exist Log type : MGMT_USER_DETAILS_LOG (2) User Name : ExampleUser User Type : CN_CRYPTO_USER (1)
Se uma tentativa de login falhar porque a senha é inválida, o HSM registrará um evento CN_LOGIN
com o nome de usuário e o tipo fornecidos no comando de login. A resposta exibe a mensagem de erro com o código de erro RET_USER_LOGIN_FAILURE
.
Time: 01/24/18 17:44:25.013218, usecs:1516815865013218 Sequence No : 0x5 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0xc008002 Response : 163:HSM Error: RET_USER_LOGIN_FAILURE Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
Exemplo: criar e excluir usuários
Este exemplo mostra os eventos de log registrados quando um responável pela criptografia (CO) cria e exclui os usuários.
O primeiro evento registra um CO, admin
, fazendo login no HSM. O número de sequência de 0x0
indica que esse é o primeiro evento no fluxo de logs. O nome e o tipo do usuário que se conectou são incluídos no evento.
Time: 01/16/18 01:48:49.824999, usecs:1516067329824999 Sequence No : 0x0 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7014006 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : admin User Type : CN_CRYPTO_OFFICER (2)
O próximo evento na sequência de logs (sequência 0x1
) registra o CO criando um novo usuário de criptografia (CU). O nome e o tipo do novo usuário são incluídos no evento.
Time: 01/16/18 01:49:39.437708, usecs:1516067379437708 Sequence No : 0x1 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_CREATE_USER (0x3) Session Handle : 0x7014006 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : bob User Type : CN_CRYPTO_USER (1)
Em seguida, o CO cria outro responsável pela criptografia, alice
. O número de sequência indica que essa ação seguiu a anterior, sem ações de intervenção.
Time: 01/16/18 01:49:55.993404, usecs:1516067395993404 Sequence No : 0x2 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_CREATE_CO (0x4) Session Handle : 0x7014007 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : alice User Type : CN_CRYPTO_OFFICER (2)
Posteriormente, o CO chamado admin
faz login e exclui o responsável pela criptografia chamado alice
. O HSM registra um evento CN_DELETE_USER
. O nome e o tipo do usuário excluído são incluídos no evento.
Time: 01/23/18 19:58:23.451420, usecs:1516737503451420 Sequence No : 0xb Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_DELETE_USER (0xa1) Session Handle : 0x7014007 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : alice User Type : CN_CRYPTO_OFFICER (2)
Exemplo: criar e excluir um par de chaves
Este exemplo mostra os eventos que são registrados em um log de auditoria do HSM ao criar e excluir um par de chaves.
O evento a seguir registra o usuário de criptografia (CU) chamado crypto_user
fazendo login no HSM.
Time: 12/13/17 23:09:04.648952, usecs:1513206544648952 Sequence No: 0x28 Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_LOGIN (0xd) Session Handle: 0x2014005 Response: 0:HSM Return: SUCCESS Log type: MGMT_USER_DETAILS_LOG (2) User Name: crypto_user User Type: CN_CRYPTO_USER (1)
Em seguida, o usuário gera um par de chaves (CN_GENERATE_KEY_PAIR
). A chave privada possui o identificador de chave 131079
. A chave pública possui o identificador de chave 131078
.
Time: 12/13/17 23:09:04.761594, usecs:1513206544761594 Sequence No: 0x29 Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_GENERATE_KEY_PAIR (0x19) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle: 131079 Public Key Handle: 131078
O usuário exclui imediatamente o par de chaves. Um evento CN_DESTROY_OBJECT registra a exclusão da chave pública (131078).
Time: 12/13/17 23:09:04.813977, usecs:1513206544813977 Sequence No: 0x2a Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_DESTROY_OBJECT (0x11) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle: 131078 Public Key Handle: 0
Em seguida, um segundo evento CN_DESTROY_OBJECT
registra a exclusão da chave privada (131079
).
Time: 12/13/17 23:09:04.815530, usecs:1513206544815530 Sequence No: 0x2b Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_DESTROY_OBJECT (0x11) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle: 131079 Public Key Handle: 0
Por fim, o usuário faz logout.
Time: 12/13/17 23:09:04.817222, usecs:1513206544817222 Sequence No: 0x2c Reboot counter: 0xe8 Command Type(hex): CN_MGMT_CMD (0x0) Opcode: CN_LOGOUT (0xe) Session Handle: 0x2014004 Response: 0:HSM Return: SUCCESS Log type: MGMT_USER_DETAILS_LOG (2) User Name: crypto_user User Type: CN_CRYPTO_USER (1)
Exemplo: gerar e sincronizar uma chave
Este exemplo mostra o efeito da criação de uma chave em um cluster com vários HSMs. A chave é gerada em um HSM, extraída do HSM como um objeto mascarado e inserida nos outros HSMs como um objeto mascarado.
nota
As ferramentas de cliente podem falhar ao sincronizar a chave. Ou o comando pode incluir o parâmetro min_srv, que sincroniza a chave apenas para o número especificado de HSMs. Em ambos os casos, o serviço AWS CloudHSM sincroniza a chave com os outros HSMs no cluster. Como os HSMs registram apenas comandos de gerenciamento do lado do cliente em seus logs, a sincronização do lado do servidor não é registrada no log do HSM.
Primeiro considere o fluxo de logs do HSM que recebe e executa os comandos. O fluxo de logs é nomeado de acordo com o ID do HSM, hsm-abcde123456
, mas o ID do HSM não aparece nos eventos de log.
Primeiro, o usuário de criptografia (CU) testuser
faz login no HSM do hsm-abcde123456
.
Time: 01/24/18 00:39:23.172777, usecs:1516754363172777 Sequence No : 0x0 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0xc008002 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
O usuário executa um comando exSymKey para gerar uma chave simétrica. O HSM hsm-abcde123456
gera uma chave simétrica com um identificador de chaves de 262152
. O HSM registra um evento CN_GENERATE_KEY
em seu log.
Time: 01/24/18 00:39:30.328334, usecs:1516754370328334 Sequence No : 0x1 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_GENERATE_KEY (0x17) Session Handle : 0xc008004 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 262152 Public Key Handle : 0
O próximo evento no fluxo de logs de hsm-abcde123456
registra a primeira etapa no processo de sincronização de chaves. A nova chave (identificador de chaves 262152
) é extraída do HSM como um objeto mascarado.
Time: 01/24/18 00:39:30.330956, usecs:1516754370330956 Sequence No : 0x2 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0) Session Handle : 0xc008004 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 262152 Public Key Handle : 0
Agora, considere o fluxo de logs do HSM hsm-zyxwv987654
, outro HSM no mesmo cluster. Esse fluxo de logs também inclui um evento de login do usuário testuser
. O valor de tempo mostra que ocorre logo depois que o usuário faz login no HSM hsm-abcde123456
.
Time: 01/24/18 00:39:23.199740, usecs:1516754363199740 Sequence No : 0xd Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7004004 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
Esse fluxo de logs desse HSM não tem um evento CN_GENERATE_KEY
. No entanto, ele não possui um evento que registra a sincronização da chave desse HSM. O evento CN_INSERT_MASKED_OBJECT_USER
registra o recebimento da chave 262152
como um objeto mascarado. Agora a chave 262152
existe em ambos os HSMs no cluster.
Time: 01/24/18 00:39:30.408950, usecs:1516754370408950 Sequence No : 0xe Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 262152 Public Key Handle : 0
Quando o usuário faz login, esse evento CN_LOGOUT
é exibido somente no fluxo de logs do HSM que recebeu os comandos.
Exemplo: exportar uma chave
Este exemplo mostra os eventos de log de auditoria que são registrados quando um usuário de criptografia exporta chaves de um cluster com vários HSMs.
O evento a seguir registra o CU (testuser
) fazendo login no key_mgmt_util.
Time: 01/24/18 19:42:22.695884, usecs:1516822942695884 Sequence No : 0x26 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_LOGIN (0xd) Session Handle : 0x7004004 Response : 0:HSM Return: SUCCESS Log type : MGMT_USER_DETAILS_LOG (2) User Name : testuser User Type : CN_CRYPTO_USER (1)
O usuário executa um comando exSymKey para exportar a chave 7
, uma chave AES de 256 bits. O comando usa a chave 6
, uma chave AES de 256 bits nos HSMs, como a chave de encapsulamento.
O HSM que recebe o comando registra um evento CN_WRAP_KEY
para a chave 7
, a chave que está sendo exportada.
Time: 01/24/18 19:51:12.860123, usecs:1516823472860123 Sequence No : 0x27 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_WRAP_KEY (0x1a) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 7 Public Key Handle : 0
Em seguida, o HSM registra um evento CN_NIST_AES_WRAP
para a chave de encapsulamento, a chave 6
. A chave é encapsulada e, em seguida, desencapsulada imediatamente, mas o HSM registra apenas um evento.
Time: 01/24/18 19:51:12.905257, usecs:1516823472905257 Sequence No : 0x28 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_NIST_AES_WRAP (0x1e) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 6 Public Key Handle : 0
O comando exSymKey grava a chave exportada em um arquivo, mas não altera a chave no HSM. Consequentemente, não há eventos correspondentes nos logs de outros HSMs no cluster.
Exemplo: importar uma chave
Este exemplo mostra os eventos do log de auditoria que são registrados quando você importa chaves nos HSMs em um cluster. Neste exemplo, o usuário de criptografia usa o comando imSymKey para importar uma chave AES para os HSMs. O comando usa a chave 6
como a chave de encapsulamento.
O HSM que recebe os comandos primeiro registra um evento CN_NIST_AES_WRAP
para a chave 6
, a chave de encapsulamento.
Time: 01/24/18 19:58:23.170518, usecs:1516823903170518 Sequence No : 0x29 Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_NIST_AES_WRAP (0x1e) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 6 Public Key Handle : 0
Em seguida, o HSM registra um evento CN_UNWRAP_KEY
que representa a operação de importação. A chave importada é atribuída a um identificador de chaves de 11
.
Time: 01/24/18 19:58:23.200711, usecs:1516823903200711 Sequence No : 0x2a Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_UNWRAP_KEY (0x1b) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 11 Public Key Handle : 0
Quando uma nova chave é gerada ou importada, as ferramentas de cliente tentam automaticamente sincronizar a nova chave com outros HSMs no cluster. Neste caso, o HSM registra um evento CN_EXTRACT_MASKED_OBJECT_USER
quando a chave 11
é extraída do HSM como um objeto mascarado.
Time: 01/24/18 19:58:23.203350, usecs:1516823903203350 Sequence No : 0x2b Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0) Session Handle : 0x7004003 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 11 Public Key Handle : 0
Os fluxos de logs de outros HSMs no cluster refletem a chegada da chave recém-importada.
Por exemplo, este evento foi registrado no fluxo de logs de um HSM diferente no mesmo cluster. Esse evento CN_INSERT_MASKED_OBJECT_USER
registra a chegada de um objeto mascarado que representa a chave 11
.
Time: 01/24/18 19:58:23.286793, usecs:1516823903286793 Sequence No : 0xb Reboot counter : 0x107 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1) Session Handle : 0xc008004 Response : 0:HSM Return: SUCCESS Log type : MGMT_KEY_DETAILS_LOG (1) Priv/Secret Key Handle : 11 Public Key Handle : 0
Exemplo: compartilhar e descompartilhar uma chave
Este exemplo mostra o evento de log de auditoria que é registrado quando um usuário de criptografia (CU) compartilha ou descompartilha a chave privada do ECC com outros usuários de criptografia. O CU usa o comando shareKey e fornece o identificador da chave, o ID de usuário e o valor 1
para compartilhar ou o valor 0
para descompartilhar a chave.
No exemplo a seguir, o HSM que recebe o comando, registra um evento CM_SHARE_OBJECT
que representa a operação de compartilhamento.
Time: 02/08/19 19:35:39.480168, usecs:1549654539480168 Sequence No : 0x3f Reboot counter : 0x38 Command Type(hex) : CN_MGMT_CMD (0x0) Opcode : CN_SHARE_OBJECT (0x12) Session Handle : 0x3014007 Response : 0:HSM Return: SUCCESS Log type : UNKNOWN_LOG_TYPE (5)