10.1.4.2.2. Emissione della Wallet Instance Attestation¶

Questa sezione descrive come il Fornitore di Wallet emette una Wallet Instance Attestation.

La figura illustra il Diagramma di Sequenza per l'acquisizione della Wallet Instance Attestation. — Fig. 10.4 Diagramma di Sequenza per l'acquisizione della Wallet Instance Attestation.¶

Passo 1: L'Utente avvia una nuova operazione che richiede l'acquisizione di una Wallet Instance Attestation.

Passi 2-3: L'Istanza del Wallet DEVE:

Verificare l'esistenza delle Cryptographic Hardware Keys. Se non esistono, è necessaria la reinizializzazione dell'Istanza del Wallet (WP_140a).

Generare una coppia di chiavi asimmetriche effimere per la Wallet Instance Attestation (ephemeral_key_pub, ephemeral_key_priv), collegando la chiave pubblica all'attestazione (WP_026).

Verificare l'appartenenza del Fornitore di Wallet alla federazione e recuperare i suoi metadati (WP_023).

Passi 4-6 (Recupero del Nonce): L'Istanza del Wallet richiede un nonce all'endpoint Endpoint Nonce della Soluzione Wallet del Backend del Fornitore del Wallet (WP_140b). Il nonce deve essere imprevedibile e funge da principale difesa contro gli attacchi di replay.

Il nonce DEVE garantire un utilizzo singolo entro un intervallo di tempo predeterminato.

In caso di richiesta riuscita, il Fornitore di Wallet genera e restituisce il valore del nonce all'Istanza del Wallet.

Passo 7: L'Istanza del Wallet esegue le seguenti azioni (WP_140c):

Crea client_data, un oggetto JSON che include il nonce e la thumbprint JWK di ephemeral_key_pub.
Calcola i corrispondenti hash, client_data_hash applicando l'algoritmo SHA256 a client_data.

Di seguito è riportato un esempio non normativo dell'oggetto JSON client_data.

{
  "nonce": "i4ThI2Jhbu81i8mqyWEuDG5t",
  "jwk_thumbprint": "vbeXJksM45xphtANnCiG6mCyuU4jfGNzopGuKvogg9c"
}

Passi 8-10: L'Istanza del Wallet:

produce un valore hardware_signature firmando client_data_hash con la chiave privata dell'Hardware del Wallet, servendo come prova di possesso delle Cryptographic Hardware Keys (WP_140d).
richiede al Servizio di Integrità del Dispositivo di creare un valore integrity_assertion collegato al client_data_hash.
riceve un valore integrity_assertion firmato per l'Istanza del Wallet dal Servizio di Integrità del Dispositivo, autenticato dall'OEM (WP_140e).

Nota

integrity_assertion è un payload personalizzato generato dal Servizio di Integrità del Dispositivo, firmato dall'OEM del dispositivo e codificato in base64 per avere uniformità tra diversi dispositivi.

Passi 11-12 (Richiesta di Emissione della Wallet Instance Attestation): L'Istanza del Wallet:

Costruisce la Wallet Instance Attestation Request sotto forma di JWT. Questo JWT include l'integrity_assertion, hardware_signature, nonce, hardware_key_tag, cnf, platform, wallet_solution_id, wallet_solution_version e altri parametri relativi alla configurazione (vedi Tabella del Corpo della Richiesta di Wallet Instance Attestation) ed è firmato utilizzando la chiave privata la cui chiave pubblica è indicata nella richiesta tramite cnf (WP_140–141).
Invia la Wallet Instance Attestation Request all'endpoint Endpoint di Emissione della Wallet Instance Attestation del Backend del Fornitore del Wallet.

L'Istanza del Wallet DEVE inviare il JWT firmato della Richiesta di Wallet Instance Attestation come parametro assertion nel corpo di una richiesta HTTP all'endpoint Endpoint di Emissione della Wallet Instance Attestation del Fornitore di Wallet (WP_142).

Passi 13-17: Il Backend del Fornitore del Wallet valuta la Richiesta di Wallet Instance Attestation e DEVE eseguire i seguenti controlli (WP_143):

La richiesta DEVE includere tutti i parametri dell'intestazione HTTP richiesti come definito in Richiesta di Emissione della Wallet Instance Attestation (WP_143a).

La firma della Richiesta di Wallet Instance Attestation DEVE essere valida e verificabile utilizzando la jwk fornita (WP_143b).

Il valore nonce DEVE essere stato generato dal Fornitore di Wallet e non essere stato utilizzato in precedenza (WP_143c).

DEVE esistere un'Istanza del Wallet valida e attualmente registrata associata al hardware_key_tag (WP_143d).

Il client_data DEVE essere ricostruito utilizzando il nonce e la chiave pubblica jwk. Il valore del parametro hardware_signature viene quindi convalidato utilizzando la chiave pubblica della Cryptographic Hardware Key registrata associata all'Istanza del Wallet (WP_143e).

L'integrity_assertion DEVE essere convalidato secondo le linee guida del produttore del dispositivo. I controlli specifici eseguiti dal Fornitore di Wallet sono dettagliati nella documentazione del produttore del sistema operativo (WP_143f).

Il dispositivo in uso DEVE essere privo di difetti di sicurezza noti e soddisfare i requisiti minimi di sicurezza definiti dal Fornitore di Wallet.

L'URL nel parametro iss DEVE corrispondere all'identificatore URL del Fornitore di Wallet (WP_143g).

Al completamento con successo di tutte le verifiche, il Fornitore di Wallet emette una Wallet Instance Attestation valida per meno di 24 ore (WP_144).

Passo 18 (Risposta di Emissione della Wallet Instance Attestation): Al completamento con successo, il Fornitore di Wallet DEVE restituire una risposta di conferma utilizzando il codice di stato 200 e il Content-Type application/json, contenente la Wallet Instance Attestations firmate dal Fornitore di Wallet. Il Fornitore di Wallet DEVE restituire la Wallet Instance Attestation in formato JWT. L'Istanza del Wallet eseguirà quindi la verifica di sicurezza e integrità della Wallet Instance Attestations ricevute, oltre alla verifica di fiducia del relativo emittente (WP_030–031).

Di seguito è riportato un esempio non normativo della risposta.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "wallet_instance_attestation": "omppc3N1ZXJBdXRohEOhASaiBE...dElEAnFlbGVtZW50SWRl"
}