opusr-client/docs/security.md

# OpusR-Client — Security Model

## Übersicht

Der OpusR-Client ist für den Einsatz in hochsicheren z/OS-Umgebungen
(Banken, Versicherungen, Behörden) konzipiert. Sicherheit hat absolute
Priorität über Komfort.

## Authentifizierung

### Phase 1: Basic Auth über HTTPS
- User gibt RACF User/Password ein
- Credentials werden per TLS verschlüsselt an DDF geschickt
- Password wird nur im Speicher gehalten (SecretString mit Zeroize)
- Bei Programmende wird der Speicher überschrieben

### Phase 2: RACF PassTickets
1. Einmal-Login: User/Password → Login-Service auf z/OS
2. Login-Service prüft gegen RACF (ICHRIX02 / RACROUTE VERIFY)
3. Bei Erfolg: PassTicket generieren (IRRSGS00)
4. PassTicket zurück an Client (8 Byte, 10 min TTL)
5. Alle weiteren REST-Calls nutzen PassTicket statt Password
6. Refresh vor Ablauf (9 min Intervall)

### PassTicket Eigenschaften
- 8 Byte, kryptographisch generiert
- Gebunden an Applikationsname (PTKTDATA-Profil in RACF)
- Einmalig verwendbar (Replay-Schutz)
- 10 Minuten gültig
- Kein echtes Passwort verlässt nach dem Login den Client

## Transport
- TLS 1.2+ mandatory (DDF SECPORT)
- Zertifikatvalidierung standardmäßig aktiv
- `--danger-accept-invalid-certs` nur für Entwicklung
- Kundeninstallation: echtes Zertifikat im RACF Keyring

## Credential-Handling im Code
- `secrecy::SecretString` für Passwords und PassTickets
- Automatisches Zeroize bei Drop
- Debug-Output zeigt "[REDACTED]"
- Kein Logging von Credentials (auch nicht bei Fehlern)
- Kein Speichern auf Disk (kein Config-File mit Passwords)

## RACF-Voraussetzungen beim Kunden
1. DDF aktiv mit SECPORT (SSL)
2. RACF PTKTDATA-Profil für opusR-Applikation
3. User braucht EXECUTE auf das REST-Service-Package
4. Optional: Client-Zertifikat im RACF Keyring
Initial: Rust CLI client für opusR Monitor 2026-04-02 07:06:26 +00:00			`# OpusR-Client — Security Model`

			`## Übersicht`

			`Der OpusR-Client ist für den Einsatz in hochsicheren z/OS-Umgebungen`
			`(Banken, Versicherungen, Behörden) konzipiert. Sicherheit hat absolute`
			`Priorität über Komfort.`

			`## Authentifizierung`

			`### Phase 1: Basic Auth über HTTPS`
			`- User gibt RACF User/Password ein`
			`- Credentials werden per TLS verschlüsselt an DDF geschickt`
			`- Password wird nur im Speicher gehalten (SecretString mit Zeroize)`
			`- Bei Programmende wird der Speicher überschrieben`

			`### Phase 2: RACF PassTickets`
			`1. Einmal-Login: User/Password → Login-Service auf z/OS`
			`2. Login-Service prüft gegen RACF (ICHRIX02 / RACROUTE VERIFY)`
			`3. Bei Erfolg: PassTicket generieren (IRRSGS00)`
			`4. PassTicket zurück an Client (8 Byte, 10 min TTL)`
			`5. Alle weiteren REST-Calls nutzen PassTicket statt Password`
			`6. Refresh vor Ablauf (9 min Intervall)`

			`### PassTicket Eigenschaften`
			`- 8 Byte, kryptographisch generiert`
			`- Gebunden an Applikationsname (PTKTDATA-Profil in RACF)`
			`- Einmalig verwendbar (Replay-Schutz)`
			`- 10 Minuten gültig`
			`- Kein echtes Passwort verlässt nach dem Login den Client`

			`## Transport`
			`- TLS 1.2+ mandatory (DDF SECPORT)`
			`- Zertifikatvalidierung standardmäßig aktiv`
			- `--danger-accept-invalid-certs` nur für Entwicklung
			`- Kundeninstallation: echtes Zertifikat im RACF Keyring`

			`## Credential-Handling im Code`
			- `secrecy::SecretString` für Passwords und PassTickets
			`- Automatisches Zeroize bei Drop`
			`- Debug-Output zeigt "[REDACTED]"`
			`- Kein Logging von Credentials (auch nicht bei Fehlern)`
			`- Kein Speichern auf Disk (kein Config-File mit Passwords)`

			`## RACF-Voraussetzungen beim Kunden`
			`1. DDF aktiv mit SECPORT (SSL)`
			`2. RACF PTKTDATA-Profil für opusR-Applikation`
			`3. User braucht EXECUTE auf das REST-Service-Package`
			`4. Optional: Client-Zertifikat im RACF Keyring`