Viafirma Platform

Integración con Safenet

HSM de Safenet

[documentación pendiente de actualización]

Exportación de claves Wrap/Unwrap

Desde la versión v3.7.0 de viafirma platform se ofrece soporte al proceso de exportación de claves privadas sobre un repositorio externo, en nuestro caso, un SGDB oracle.

Este proceso, denominado wrap/unwrap, está soportado en los HSM de Safenet con módulo KE (key export). Consulta el modelo de HSM antes de continuar con esta documentación.

Configuración

Para el uso de este proceso wrap/unwrap, en viafirma platform deberán incorporarse el siguiente parámetro en el fichero de configuración de viafirma platform:

KEYSTORE_HSM_SAFENET_LUNA_UNWRAP=true
KEYSTORE_HSM_SAFENET_LUNA_PASS=****
UNWRAP_AES_ALIAS=myAlias
UNWRAP_DATASOURCE=java:comp/env/jdbc/wrap

Además de esta configuración, debemos indicar el pool de conexión usada para la persistencia de claves sobre oracle:

<Resource
auth="Container"
driverClassName="oracle.jdbc.driver.OracleDriver"
maxActive="100” maxIdle="30" maxWait="10000"
name="jdbc/wrap"
username="myUser" password="myPass"
type="javax.sql.DataSource"
url="jdbc:oracle:thin:@192.168.20.437:1521:ORCL"/>

importante: el resource Name debe ser igual a lo informado en el atributo UNWRAP_DATASOURCE de la configuración de viafirma platform.

Scripts SQL

Junto al resto de entregables se deben solicitar los scripts SQL para la creación de la tabla en Oracle que se usará para la persistencia de claves exportadas y que deberán ejecutarse en el orden correspondiente al nombre del script.

  • 1_WRAPPED_KEY.sql
  • 2_WRAPED_KEY_PK.sql
  • 3_WRAPPED_KEY_CONSTRAINT.sql
  • 4_SEQ_WRAPPED_KEY.sql
  • 5_TRG_WRAPPED_KEY.sql

Limitación de la JVM para el cifrado de claves

El uso del cifrado desde una JVM está limitado por el fabricante (Oracle) en función del país de configuración, restringiendo algunos algortimos autorizados en EEUU.

Para poder realizar el UNWRAP necesario, la VM de Java necesita tener el profile extendido de fuerza de encriptacion ilimitada.

Se facilita junto a los entregables los .jar (UnlimitedJCEPolicy.zip) indicados por el fabricante.

Referencias Unlimited Strength JCE

Java 6

http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html

Java 7

http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html

Java 8

http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html?ssSourceSiteId=otnes