ABS Core v4.3.1
Security and Compliance

Key Management & HSM Integration

Ciclo de vida de chaves criptográficas (KMS), integração com Hardware Security Modules (HSMs) e estratégias de rotação.

Key Management Lifecycle

O ABS Core depende de criptografia assimétrica (Ed25519) e hashes SHA-256 para garantir a integridade do Octagon Ledger. O gerenciamento adequado destas chaves é o pilar central da soberania do sistema.

1. Hierarchy of Trust

A infraestrutura de chaves do ABS Core é dividida em três níveis:

  1. Root of Trust (RoT): A chave mestre offline, utilizada exclusivamente para assinar as chaves de infraestrutura (Infrastructure Keys). Deve ser armazenada em um cofre físico ou HSM offline.
  2. Infrastructure Keys: Chaves de nível de cluster que assinam a identidade de cada Node individual (Agent Keys) que ingressa na rede.
  3. Agent Keys: Chaves efêmeras geradas por cada instância do Agent Node. São utilizadas para assinar as transações e o histórico de intenções no ledger.

2. Hardware Security Module (HSM) Integration

Para ambientes institucionais (Bancos, Defesa), as chaves de nível Root e Infrastructure não devem residir no sistema de arquivos.

O ABS Core suporta integração via PKCS#11 e KMIP (Key Management Interoperability Protocol) para interagir com:

  • Thales Luna HSMs
  • Entrust nShield
  • AWS CloudHSM / Azure Key Vault (apenas em implantações de nuvem soberana)

Exemplo de Configuração (PKCS#11)

security:
  hsm:
    enabled: true
    provider: "pkcs11"
    library: "/usr/safenet/lunaclient/lib/libCryptoki2_64.so"
    slot_id: 1
    pin_env: "HSM_PARTITION_PIN"

3. Key Rotation & Lifecycle

O ciclo de vida das Agent Keys é efêmero por design para reduzir a superfície de ataque em caso de comprometimento do node.

EventoAçãoRTO Máximo
Start-upNova Agent Key gerada e assinada pela Infrastructure Key.N/A
Rotação RegularO node rotaciona sua chave a cada 24 horas (configurável).Zero downtime (Overlap)
Revogação (Comprometimento)A Infrastructure Key publica uma CRL (Certificate Revocation List) na rede. O node isolado é imediatamente banido.< 500ms

4. Disaster Recovery (Cryptographic)

A perda da Root of Trust é um evento catastrófico que invalida toda a cadeia de confiança do ABS Core.

  • Procedimento de Quorum (M-of-N): A Root Key deve ser gerada utilizando um esquema de fragmentação de Shamir (ex: 3 de 5 diretores necessários para reconstruir a chave).
  • Cerimônia de Geração: Deve seguir as diretrizes do NIST SP 800-57 Part 1 Rev. 5, conduzida em ambiente air-gapped e auditada em vídeo.

SBOM Registry & Supply Chain

Software Bill of Materials (SBOM) e integridade da cadeia de suprimentos do ABS Core.

NIST AI RMF 1:1 Mapping

Complete mapping of NIST AI Risk Management Framework controls to ABS Core SovereignAuditRecord fields. 19 controls, 12 fully covered.

On this page

Key Management Lifecycle1. Hierarchy of Trust2. Hardware Security Module (HSM) IntegrationExemplo de Configuração (PKCS#11)3. Key Rotation & Lifecycle4. Disaster Recovery (Cryptographic)