Das DAT-Zertifikat ist eine Spezifikation zur Steuerung der Ausstellungsberechtigung von DAT (Data Authentication Token) sowie zur Verwaltung der Signatur- und Verschlüsselungsalgorithmen und der Schlüssel (Key) des Tokens.
Jedes Zertifikat besitzt eine eindeutige ID (CID) und verwaltet den Token-Lebenszyklus sicher, indem es den Ausstellungszeitraum des DAT sowie die Standard-Gültigkeitsdauer (TTL) der erzeugten Token vorschreibt.
CID : Hex (uint64)
CID-Feld des DAT abgeglichen, um bei der Validierung das zu verwendende Zertifikat zu bestimmen.DAT-Ausgabestartzeit : uint64 (Unix Time)
DAT-Ausgabedauer : uint64 (Seconds)
DAT-Ausgabestartzeit kann mit diesem Zertifikat kein neues DAT mehr ausgestellt werden.DAT TTL (Gültigkeitszeit) : uint64 (Seconds)
expire-Wert auf den Ausstellungszeitpunkt (aktuelle Uhrzeit) zuzüglich dat-ttl gesetzt.Signaturalgorithmus : String / Enum
signature-Felds des DAT verwendet wird.Verschlüsselungsalgorithmus : String / Enum
secure-Felds des DAT verwendet wird.Signaturschlüssel : Base64Url (Binary)
Verschlüsselungsschlüssel : Base64Url (Binary)
secure-Felds verwendet werden.Liste der Signaturalgorithmen zum Schutz des DAT vor Manipulation und Fälschung.
Es werden sowohl symmetrische als auch asymmetrische Schlüsselverfahren unterstützt.
ECDSA-P256
ECDSA-P384
ECDSA-P521
HMAC-SHA256-MFS
HMAC-SHA384-MFS
HMAC-SHA512-MFS
MFS (Maximum Fixed Secret): Ein Verfahren, bei dem ein Geheimschlüssel fester Größe verwendet wird, dessen Bitlänge der Ausgabe (Output) des Hash-Algorithmus entspricht.
Liste der authentifizierten Verschlüsselungsalgorithmen (Authenticated Encryption) zum Schutz der vertraulichen Daten im DAT (Feld secure).
Das Verschlüsselungsergebnis liegt in einer kombinierten Form aus IV und verschlüsselten Daten vor, um Entschlüsselung und Replay-Angriffe zu verhindern.
IV-AES128-GCM
IV-AES256-GCM
IV (Initialization Vector) Einbettung: Um Replay Attacks zu verhindern, wird bei jeder Verschlüsselung ein eindeutiger 96-Bit-NONCE (IV) erzeugt und dem verschlüsselten Ergebnis als Präfix (Prefix) vorangestellt und im Binärdaten eingebettet. Bei der Entschlüsselung werden die ersten 96 Bits als IV abgetrennt und zur Entschlüsselung verwendet.