> For the complete documentation index, see [llms.txt](https://ftcoders.first-tech.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://ftcoders.first-tech.com/landing-page/modulo-key-manager/introducao-e-fundamentos.md). # Introdução e Fundamentos O módulo PayShield Key Manager da plataforma Hop V4 centraliza e gere o ciclo de vida das chaves criptográficas (DES, 3DES, AES) através do HSM Thales, sempre protegidas sob a LMK (Local Master Key) . Como o Key Manager é o módulo de base da plataforma — uma vez que todos os outros módulos (CVV, EMV, PIN, PAN, Crypto) referenciam as chaves aqui cadastradas —, este é o ponto de partida natural para qualquer integração com a Hop V4. ### Para que serve o Módulo Key Manager? Em plataformas de pagamento, as chaves precisam de ser geradas, importadas, exportadas, rotacionadas e, por vezes, traduzidas entre ambientes. O módulo expõe via API REST as seguintes operações fundamentais : * Generate: Gera uma nova chave aleatória diretamente no HSM, sob a proteção da LMK. O seu alias (`keyId`) e KCV (*Key Check Value*) são retornados . * Import: Importa uma chave recebida de um parceiro, encriptada sob uma ZMK (*Zone Master Key*). O HSM decifra com a ZMK e re-cifra com a LMK para armazenamento seguro . * ImportZMK: Importa a própria ZMK (em formato Key Block Thales), que servirá de base para proteger todas as trocas subsequentes com a contraparte . * ExportKey: Exporta uma chave armazenada sob a LMK, encriptando-a sob a ZMK do parceiro em formatos específicos (X9.17, TR-31, TKBF). * TranslateLMK: Traduz uma chave de um LMK antigo para o LMK atual (essencial em migrações de ambiente, como da Hop V3 para V4) . > Princípio de Proteção Absoluta As chaves nunca aparecem em texto claro fora do HSM. Estão sempre protegidas por outra chave: pela LMK no armazenamento, pela ZMK em trânsito, ou pelo Key Block Thales (que adiciona um MAC de integridade) ### Tipos de Chave (`keyName`) O campo `keyName` define a finalidade da chave. O HSM impõe regras estritas com base neste tipo (ex.: dita se a chave pode encriptar PIN blocks, calcular MACs ou ser exportada) .
keyNameNome CompletoFinalidade
ZMKZone Master KeyChave-mestra partilhada. Protege outras chaves em trânsito (nunca usada diretamente em transações).
TMKTerminal Master KeyChave-mestra de terminal POS. Protege chaves de trabalho enviadas para o terminal.
ZPKZone PIN KeyChave de trabalho para encriptar PIN blocks em transações entre zonas.
ZAKZone Authentication KeyChave para gerar e validar MACs em mensagens entre zonas.
ZEKZone Encryption KeyChave para encriptar dados gerais em transações.
BDKBase Derivation KeyChave-mestra DUKPT. Deriva chaves únicas de transação (UDK) nos terminais.
CVKCard Verification KeyChave usada na geração/validação de CVV/CVC.
DEKData Encryption KeyChave genérica de criptografia de dados sensíveis (não-PIN).
KERGEMV Key Encryption KeyProteção de chaves EMV na emissão de cartões com chip.
*** ### Tamanhos e Algoritmos (`keySizeType`) O campo `keySizeType` (um único caractere) define em simultâneo o algoritmo e o tamanho da chave.
keySizeTypeAlgoritmoTamanho EfetivoComentário Prático
SDES single length64 bits (56 + paridade)Legado. Vulnerável a brute force; não recomendado para novas chaves.
DDES double length128 bits (112 + paridade)Padrão tradicional (3DES). Aceite pela maioria das bandeiras.
TDES triple length192 bits (168 + paridade)Maior segurança em DES. Usado em chaves-mestras de longa duração.
AAES-128128 bitsPadrão moderno recomendado para novas integrações.
BAES-192192 bitsPouco utilizado na prática comercial.
CAES-256256 bitsMaior nível de segurança AES disponível.
### Modos de Operação (`modeFlag`) No endpoint `GenerateKey`, o campo `modeFlag` define se a chave será apenas gerada internamente, ou se será também exportada em simultâneo para uma contraparte .
modeFlagOperaçãoCampos Extra ExigidosQuando Usar
0Apenas gerar chave-Geração de chaves para uso estritamente interno (ex.: ZPK para validar PINs).
1Gerar e Exportar sob ZMK/TMKzmk_TMK_flag, zmk_TMK_keyIdQuando a chave será enviada de imediato a um parceiro. Evita invocar o endpoint Export separadamente .
ADerivar chave-Esquemas que derivam chaves de uma chave-mãe (ex.: KSI/KSN derivado de BDK).
BDerivar e Exportarzmk_TMK_flag, zmk_TMK_keyIdCombinação dos cenários A e 1.
### Esquemas de Exportação (`export_scheme`) Ao exportar chaves (no endpoint `ExportKey`), a API suporta três métodos de empacotamento. A escolha depende unicamente do formato que o sistema do seu parceiro consegue processar .
Esquema (export_scheme)Padrão e AlgoritmoComentário de Integração
TR31ASC X9 TR-31 (DES, 3DES, AES, HMAC)Recomendado. Inclui MAC de integridade e metadados de uso. Exigido por bandeiras em novas integrações .
X917ANSI X9.17 (Apenas DES/3DES)Esquema legado. Não suporta AES nem validação de integridade. Usar apenas se a contraparte for um sistema legado.
TKBFThales Key Block Format (DES, AES, HMAC)Formato proprietário. Útil se a contraparte também possuir um HSM Thales.
### Chaves Efêmeras (Tempo de Vida) A plataforma Hop suporta chaves com tempo de vida útil limitado, ativadas ao definir o campo `is_ephemeral = true` nos endpoints de geração ou importação. O tempo em minutos é estipulado no campo `key_TTL_minutes` . Após expirarem, as chaves tornam-se automaticamente inutilizáveis. Casos de uso ideais: * Tokens de sessão para transações específicas. * Testes em ambiente de homologação (evitando que chaves de teste fiquem acumuladas no banco). * Rotação de segurança programada. Todas as respostas de geração e importação devolverão o campo `retKeyTTLmin`, indicando os minutos restantes. Para chaves permanentes (`is_ephemeral = false` ou omitido), este valor retornará `0` . --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://ftcoders.first-tech.com/landing-page/modulo-key-manager/introducao-e-fundamentos.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.