Localizador de chave

Um localizador de chaves é uma abstração do mecanismo que recupera a chave para assinatura digital e criptografia. A implementação do Módulo de Login do Java™ Authentication and Authorization Service (JAAS) é utilizada para criar o token de segurança no gerador e validar (autenticar) o token de segurança no consumidor.

Recupere chaves de uma das seguintes origens dependendo de sua implementação:
  • Arquivo de armazenamento de chaves Java
  • Banco de dados
  • Servidor KDC do Kerberos (WebSphere Application Server usando apenas JAX-WS)
  • O serviço de confiança pode fornecer um token e uma chave de contexto de segurança (WebSphere Application Server usando apenas JAX-WS)
Os localizadores de chaves procuram a chave utilizando algum tipo de pista. Os seguintes tipos de pistas são suportados:
  • Um rótulo de cadeia da chave, que é transmitido explicitamente por meio da API (Interface de Programação de Aplicativos). O relacionamento entre cada chave e seu nome (etiqueta de cadeia) é mantido dentro do localizador de chaves.
  • O contexto de implementação do localizador de chaves; informações explícitas não são transmitidas ao localizador de chaves. Um localizador de chaves determina a chave apropriada, de acordo com o contexto de implementação.

O WebSphere Application Server Versões 6 e mais recentes suportam uma assinatura baseada em chave secreta chamada HMAC-SHA1. Se você utilizar HMAC-SHA1, a mensagem SOAP não conterá um token de segurança binário. Neste caso, será assumido que as informações chave na mensagem contêm o nome da chave utilizado para especificar a chave secreta no armazenamento de chave.

Como os localizadores de chaves suportam apenas a assinatura baseada em chave pública, a chave para verificação é incorporada no certificado X.509 como um elemento <BinarySecurityToken> na mensagem de entrada. Por exemplo, os localizadores de chaves podem obter a identidade do responsável pela chamada do contexto e podem recuperar a chave pública do responsável pela chamada para criptografia da resposta.

Esta seção descreve os cenários de uso para localizadores de chaves.

Assinatura:

O nome da chave de assinatura é especificado na configuração do Web Services Security. Esse valor é transmitido ao localizador de chaves e a chave real é retornada. O certificado X.509 correspondente também pode ser retornado.

Verificação:

Por padrão, o WebSphere Application Server Versões 6 e mais recente suporta os seguintes tipos de localizadores de chaves:
KeyStoreKeyLocator
Utiliza o armazenamento de chave para recuperar a chave utilizada para assinatura digital e verificação ou criptografia e decriptografia.
X509CertKeyLocator
Utiliza um certificado X.509 em uma mensagem para recuperar a chave para verificação ou decriptografia.
SignerCertKeyLocator
Utiliza o certificado X.509 na mensagem de pedido para recuperar a chave utilizada para criptografia na mensagem de resposta.

Criptografia:

O nome da chave de criptografia é especificado na configuração do Web Services Security. Esse valor é transmitido ao localizador de chaves e a chave real é retornada. No servidor, é possível utilizar SignerCertKeyLocator para recuperar a chave para criptografia na mensagem de resposta do certificado X.509 na mensagem de pedido.

Decriptografia:

A especificação do Web Services Security recomenda usar o identificador de chaves em vez do nome da chave. Contudo, enquanto o algoritmo para computar o identificador para as chaves públicas estiver definido no RFC (Request for Comment) 3280 da IETF (Internet Engineering Task Force), não existe um acordo sobre um algoritmo para as chaves secretas. Portanto, a implementação atual do Web Services Security usa apenas o identificador quando a criptografia baseada em chave pública for executada. Caso contrário, é utilizado o nome da chave ordinal.

Quando se utiliza a criptografia baseada em chave pública, o valor do identificador da chave é integrado na mensagem criptografada de entrada. Em seguida, a implementação do Web Services Security procura por todas as chaves gerenciadas pelo localizador de chaves e decriptografa a mensagem usando a chave cujo valor identificador corresponde a um na mensagem.

Quando se utiliza a criptografia baseada em chave secreta, o valor do nome da chave é integrado na mensagem criptografada de entrada. A implementação do Web Services Security solicita ao localizar de chaves uma chave com o nome que corresponde ao nome na mensagem e decriptografa a mensagem usando a chave.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_keylocatorv6
Nome do arquivo: cwbs_keylocatorv6.html