/* Сервис для генерации и хранения приватных и публичных ключей, в данном случае необходимых для подписи токена, находится в DMZ зоне, непосредственно не участвует в сценариях Партнёра */ syntax = "proto3"; import "google/api/annotations.proto"; import "google/api/field_behavior.proto"; import "google/protobuf/descriptor.proto"; import "google/protobuf/timestamp.proto"; import "google/protobuf/wrappers.proto"; package keyapis.kms.v1; option java_package = "ru.keyapis.kms.v1"; option java_outer_classname = "KeyapisKmsV1Proto"; option java_multiple_files = false; option java_string_check_utf8 = true; option go_package = "/keyapis_kms_v1"; option cc_enable_arenas = true; option csharp_namespace = "Keyapis.Kms.V1"; option objc_class_prefix = "KEYAPISKMSV1"; option php_namespace = "Keyapis\\Kms\\V1"; option ruby_package = "Keyapis::Kms::V1"; option optimize_for = LITE_RUNTIME; // Сервис KMS service KmsService { // Метод генерации пары ключей. // Генерирует публичный и приватный ключи. // Приватный ключ шифруется алгоритмом AES-GCM и сохранятеся в колонке kms.key_infos.encrypted_private_key. // Формат хранения приватного ключа - строковое представление JSON: состоит из переменных: // - Nonce: Number used once - представляет собой уникальный набор битов, используется один раз при шифровании блока данных в режиме GCM. // - EncryptedString: зашифрованный приватный ключ в формате DER. // - Tag: Message Authentication Code, используется для проверки целостности и подлинности данных после их расшифровки. // Публичный ключ сохранятеся в колонке kms.key_infos.public_key в формате DER и передаётся в сервис JWKS методом PostKey. // Логика работы метода: https://confluence.rt.ru/pages/viewpage.action?pageId=664695357. // Метод доступен для: admin, manager, service rpc PostKmsKeyGenerate(PostKmsKeyGenerateRequest) returns (PostKmsKeyGenerateResponse) { option (google.api.http) = { post: "/kms/internal/api/v1/kms/key/generate" }; } // Метод получения ключей. // Возвращает три последних ключа отсортированных по created_at DESC. // Используется в административном интерфейсе, для отображения даты выпуска последней пары ключей. // Сценарий использвания: https://confluence.rt.ru/pages/viewpage.action?pageId=682907591. // Метод доступен для: admin, manager, service rpc GetKmsKeyList(GetKmsKeyListRequest) returns (stream GetKmsKeyListResponse) { option (google.api.http) = { get: "/kms/internal/api/v1/kms/key/list" }; } } // Запрос на генерацию пары ключей message PostKmsKeyGenerateRequest {} // Ответ на запрос на генерацию пары ключей message PostKmsKeyGenerateResponse { // Ошибка message Error { // Причина oneof reason { // Ошибка генерации ключей в сервисе KMS KeyInfo.GeneratingError generating = 1; } } // Тип ответа oneof type { // Идентификатор. // # Тип: Guid string data = 1; // Ошибка Error error = 2; } } // Запрос на получение ключей message GetKmsKeyListRequest {} // Ответ на запрос на получение ключей message GetKmsKeyListResponse { // Тип ответа oneof type { // Ключ. // В ключе должен отсутсвовать encrypted_private_key KeyInfo data = 1; } } // Пара ключей. // # Описание модели message KeyInfo { // Идентификатор. // # Тип: Guid string id = 1 [(google.api.field_behavior) = REQUIRED]; // Публичный ключ. // # Диапазон: 0..800 string public_key = 2 [(google.api.field_behavior) = OUTPUT_ONLY]; // Приватный ключ в зашифрованном виде. // # Диапазон: 0..4000 string encrypted_private_key = 3 [(google.api.field_behavior) = OUTPUT_ONLY]; // Дата и время создания ключа google.protobuf.Timestamp created_at = 4 [(google.api.field_behavior) = OUTPUT_ONLY]; // Дата и время истечения жизни ключа google.protobuf.Timestamp expired_at = 5 [(google.api.field_behavior) = OUTPUT_ONLY]; // Ошибка генерации message GeneratingError { // Ошибка генерации ключа в сервисе KMS. // Причины: // - Отсутсвует связанность с базой данных message TransactionError {} // Ошибка сохранения публичного ключа в сервисе JWKS. // Причины: // - Отсутсвует связанность с сервисом JWKS message PublishingKeyError {} // Причина ошибки oneof reason { // Ошибка генерации ключа в сервисе KMS TransactionError transaction = 1; // Ошибка сохранения публичного ключа в сервисе JWKS PublishingKeyError publishing = 2; } } }