Administration de la structure cryptographique (tâches)

Cette section explique l'administration des fournisseurs de logiciels et des fournisseurs de matériel dans la structure cryptographique. L'utilisation de ces fournisseurs peut être empêchée lorsque cela est souhaitable. Par exemple, vous pouvez désactiver l'implémentation d'un algorithme d'un seul fournisseur de logiciels. Ensuite, vous pouvez forcer le système à utiliser l'algorithme d'un autre fournisseur de logiciels.

Administration de la structure cryptographique (liste des tâches)

La liste des tâches suivante présente les procédures permettant d'administrer les fournisseurs de logiciels et matériels dans la structure cryptographique.

Tâche	Description	Voir
Etablissement de la liste des fournisseurs dans la structure cryptographique	Répertorie les algorithmes, les bibliothèques et les périphériques matériels disponibles pour l'utilisation dans la structure cryptographique	Procédure d'établissement de la liste des fournisseurs disponibles
Ajout d'un fournisseur de logiciels.	Ajoute une bibliothèque PKCS #11 ou un module de noyau à la structure cryptographique. Le fournisseur doit être signé.	Procédure d'ajout d'un fournisseur de logiciels
Interdiction d'utilisation d'un mécanisme au niveau de l'utilisateur.	Empêche l'utilisation d'un mécanisme logiciel. Le mécanisme peut être activé à nouveau.	Procédure d'interdiction de l'utilisation d'un mécanisme au niveau de l'utilisateur
Désactivation temporaire des mécanismes d'un module de noyau.	Empêche temporairement l'utilisation d'un mécanisme. Généralement utilisée à des fins de test.	Procédure d'interdiction de l'utilisation d'un fournisseur de logiciels noyau
Désinstallation d'un fournisseur.	Empêche l'utilisation d'un fournisseur de logiciels noyau.	Exemple 12-27
Etablissement de la liste des fournisseurs de matériel disponibles.	Affiche le matériel connecté, les mécanismes que le matériel fournit et les mécanismes activés pour utilisation.	Procédure d'établissement de la liste des fournisseurs de matériel
Désactivation de mécanismes d'un fournisseur de matériel.	Permet de s'assurer que les mécanismes sélectionnés sur un accélérateur matériel ne sont pas utilisés.	Procédure de désactivation des mécanismes et fonctions d'un fournisseur de matériel
Redémarrage ou actualisation des services cryptographiques.	Permet de s'assurer que les services cryptographiques sont disponibles.	Procédure d'actualisation ou de redémarrage de tous les services cryptographiques

Procédure d'établissement de la liste des fournisseurs disponibles

La structure cryptographique fournit des algorithmes pour plusieurs types de consommateurs :

Les fournisseurs au niveau de l'utilisateur offrent une interface de chiffrement PKCS #11 aux applications liées à la bibliothèque libpkcs11.
Les fournisseurs de logiciels noyau offrent des algorithmes pour IPsec, Kerberos et d'autres composants de noyau Oracle Solaris
Les fournisseurs de matériel noyau offrent des algorithmes disponibles pour les consommateurs de noyau et les applications via la bibliothèque pkcs11_kernel.

Répertoriez les fournisseurs dans un format court.
Remarque - Le contenu et le format de la liste de fournisseurs varient selon les versions d'Oracle Solaris. Exécutez la commande cryptoadm list sur votre système pour afficher les fournisseurs que votre système prend en charge.

Seuls les mécanismes au niveau de l'utilisateur sont disponibles pour les utilisateurs standard.
```
% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Provider: /usr/lib/security/$ISA/pkcs11_tpm.so

Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand

Kernel hardware providers:
    ncp/0
```

Répertoriez les fournisseurs et leurs mécanismes dans la structure cryptographique.

Tous les mécanismes sont répertoriés dans la sortie suivante. Cependant, certains de ces mécanismes peuvent ne pas être disponibles pour l'utilisation. Pour répertorier uniquement les mécanismes approuvés pour l'utilisation par l'administrateur, reportez-vous à l'Exemple 12-20.

La sortie est tronquée à des fins d'affichage.

% cryptoadm list -m
User-level providers:
=====================

Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
/usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented.

Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC                  
CKM_DES_CBC_PAD              
CKM_DES_ECB                  
CKM_DES_KEY_GEN              
CKM_DES_MAC_GENERAL          
...
CKM_ECDSA_SHA1               
CKM_ECDH1_DERIVE             

Provider: /usr/lib/security/$ISA/pkcs11_tpm.so
/usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented.

Kernel software providers:
==========================
des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
arcfour: CKM_RC4
blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC
ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1
sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL
sha2: CKM_SHA256,CKM_SHA256_HMAC,CKM_SHA256_HMAC_GENERAL,CKM_SHA384,CKM_SHA384_HMAC,
CKM_SHA384_HMAC_GENERAL,CKM_SHA512,CKM_SHA512_HMAC,CKM_SHA512_HMAC_GENERAL
md4: CKM_MD4
md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL
rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS,
CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS
swrand: No mechanisms presented.

Kernel hardware providers:
==========================
ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
CKM_ECDH1_DERIVE,CKM_ECDSA

Exemple 12-19 Recherche de mécanismes cryptographiques existants

Dans l'exemple suivant, tous les mécanismes offerts par la bibliothèque au niveau de l'utilisateur, pkcs11_softtoken, sont répertoriés.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC                  
CKM_DES_CBC_PAD              
CKM_DES_ECB                  
CKM_DES_KEY_GEN              
CKM_DES_MAC_GENERAL          
CKM_DES_MAC 
…
CKM_ECDSA                    
CKM_ECDSA_SHA1               
CKM_ECDH1_DERIVE

Exemple 12-20 Recherche de mécanismes cryptographiques disponibles

La stratégie détermine les mécanismes utilisables. L'administrateur définit la stratégie. Un administrateur peut choisir de désactiver des mécanismes à partir d'un fournisseur particulier. L'option -p affiche la liste des mécanismes autorisés par la stratégie définie par l'administrateur.

% cryptoadm list -p
User-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, 
except CKM_MD5. random is enabled.
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.

Kernel software providers:
==========================
des: all mechanisms are enabled.
aes: all mechanisms are enabled.
arcfour: all mechanisms are enabled.
blowfish: all mechanisms are enabled.
ecc: all mechanisms are enabled.
sha1: all mechanisms are enabled.
sha2: all mechanisms are enabled.
md4: all mechanisms are enabled.
md5: all mechanisms are enabled.
rsa: all mechanisms are enabled.
swrand: random is enabled.

Kernel hardware providers:
==========================
ncp/0: all mechanisms are enabled. random is enabled.

Exemple 12-21 Détermination des fonctions exécutées par les différents mécanismes cryptographiques

Les mécanismes exécutent des fonctions cryptographiques spécifiques, telles que la signature ou la génération de clé. Les options -v -m affichent tous les mécanismes et leurs fonctions.

Dans cet exemple, l'administrateur souhaite déterminer les fonctions pour lesquelles le mécanisme CKM_ECDSA* peut être utilisé.

% cryptoadm list -vm
User-level providers:
=====================

Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
/usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented.

Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
...
CKM_ECDSA       112 571  .  .  .  .  X  .  X  .  .  .  .  .  .
CKM_ECDSA_SHA1  112 571  .  .  .  .  X  .  X  .  .  .  .  .  .
...

La liste indique que ces mécanismes au niveau de l'utilisateur sont disponibles à partir de la bibliothèque /usr/lib/security/$ISA/pkcs11_softtoken.so.

Chaque élément dans une entrée représente un élément d'information sur le mécanisme. Pour ces mécanismes ECC, la liste indique les éléments suivants :

Longueur minimale : 112 octets
Longueur maximale : 571 octets
Matériel : n'est pas disponible sur le matériel.
Chiffrer : n'est pas utilisé pour chiffrer les données.
Déchiffrer : n'est pas utilisé pour déchiffrer les données.
Résumé : n'est pas utilisé pour créer des résumés de message.
Signer : est utilisé pour signer les données.
Signer + récupérer : n'est pas utilisé pour signer les données, lorsque les données peuvent être récupérées à partir de la signature.
Vérifier : est utilisé pour vérifier les données signées.
Vérifier + récupérer : n'est pas utilisé pour vérifier les données qui peuvent être récupérées à partir de la signature.
Génération de clé : n'est pas utilisé pour générer une clé privée.
Génération de paire : n'est pas utilisé pour générer une paire de clés.
Encapsuler : n'est pas utilisé pour encapsuler c'est-à-dire, chiffrer, une clé existante.
Désencapsuler : n'est pas utilisé pour désencapsuler une clé encapsulée.
Dériver : n'est pas utilisé pour dériver une nouvelle clé à partir d'une clé de base.

Procédure d'ajout d'un fournisseur de logiciels

Avant de commencer

Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

Répertoriez les fournisseurs de logiciels disponibles sur le système.

% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.

Kernel software providers:
    des
    aes
    arcfour
    blowfish
    sha1
    sha2
    md4
    md5
    rsa
    swrand

Kernel hardware providers:
    ncp/0

Ajoutez le fournisseur à partir d'un référentiel.
Le logiciel du fournisseur existant a reçu un certificat émis par Oracle.
Actualisez les fournisseurs.
Vous devez actualiser les fournisseurs si vous avez ajouté un fournisseur de logiciels ou si vous avez ajouté un matériel et spécifié une stratégie pour ce matériel.
```
# svcadm refresh svc:/system/cryptosvc
```

Localisez le nouveau fournisseur dans la liste.

Dans ce cas, un nouveau fournisseur de logiciels noyau a été installé.

# cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc 
    sha1
    sha2
    md4
    md5
    rsa
    swrand
  sha3 <-- added provider
…

Exemple 12-22 Ajout d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, une bibliothèque PKCS 11 signée est installée.

# pkgadd -d /cdrom/cdrom0/SolarisNew
Answer the prompts
# svcadm refresh system/cryptosvc
# cryptoadm list
user-level providers:
==========================
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /usr/lib/security/$ISA/pkcs11_tpm.so
    /opt/lib/$ISA/libpkcs11.so.1 <-- added provider

Les développeurs qui testent une bibliothèque avec la structure cryptographique peuvent installer la bibliothèque manuellement.

# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1

Procédure d'interdiction de l'utilisation d'un mécanisme au niveau de l'utilisateur

Si certains des mécanismes cryptographiques provenant d'un fournisseur de bibliothèques ne doivent pas être utilisés, vous pouvez supprimer les mécanismes sélectionnés. Cette procédure utilise les mécanismes DES de la bibliothèque pkcs11_softtoken comme un exemple.

Avant de commencer

Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

Répertoriez les mécanismes offerts par un fournisseur de logiciels particulier au niveau de l'utilisateur.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
…

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p
user-level providers:
=====================
…
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.
…

Désactivez les mécanismes qui ne doivent pas être utilisés.

$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Exemple 12-23 Activation d'un mécanisme d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, un mécanisme DES désactivé est de nouveau rendu disponible pour l'utilisation.

$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Exemple 12-24 Activation de tous les mécanismes d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, tous les mécanismes de la bibliothèque au niveau de l'utilisateur sont activés.

$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

Exemple 12-25 Suppression définitive de la disponibilité d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, la bibliothèque libpkcs11.so.1 est supprimée.

$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1
$ cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /usr/lib/security/$ISA/pkcs11_tpm.so

kernel software providers:
…

Procédure d'interdiction de l'utilisation d'un fournisseur de logiciels noyau

Si la structure cryptographique fournit plusieurs modes d'un fournisseur tel que AES, vous pouvez supprimer un mécanisme lent ou corrompu. Cette procédure utilise l'algorithme AES comme exemple.

Avant de commencer

Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

Répertoriez les mécanismes qui sont offerts par un fournisseur de logiciels noyau particulier.

$ cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Désactivez le mécanisme qui ne doit pas être utilisé.
```
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
```

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.

Exemple 12-26 Activation d'un mécanisme d'un fournisseur de logiciels noyau

Dans l'exemple suivant, un mécanisme AES désactivé est de nouveau rendu disponible pour l'utilisation.

cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
$ cryptoadm enable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Exemple 12-27 Suppression temporaire de la disponibilité d'un fournisseur de logiciels noyau

Dans l'exemple suivant, l'utilisation du fournisseur AES est temporairement rendue impossible. La sous-commande unload est utile pour empêcher le chargement automatique d'un fournisseur pendant que le fournisseur est en cours de désinstallation. Par exemple, la sous-commande unload peut être utilisée lors de l'installation d'un patch qui affecte le fournisseur.

$ cryptoadm unload provider=aes

$ cryptoadm list 
…
Kernel software providers:
    des
    aes (inactive)
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand

Le fournisseur AES reste indisponible jusqu'à l'actualisation de la structure cryptographique.

$ svcadm refresh system/cryptosvc

$ cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand

Si un consommateur de noyau utilise le fournisseur de logiciels noyau, le logiciel n'est pas déchargé. Un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.

Exemple 12-28 Suppression définitive de la disponibilité du fournisseur de logiciels

Dans l'exemple suivant, l'utilisation du fournisseur AES est définitivement rendue impossible. Une fois supprimé, le fournisseur AES n'apparaît plus dans la liste des stratégies des fournisseurs de logiciels noyau.

$ cryptoadm uninstall provider=aes

$ cryptoadm list 
…
Kernel software providers:
    des
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand

Si un consommateur de noyau utilise ce fournisseur de logiciels noyau, un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.

Exemple 12-29 Réinstallation d'un fournisseur de logiciels noyau supprimé

Dans l'exemple suivant, le fournisseur de logiciels noyau AES est réinstallé.

$ cryptoadm install provider=aes \
mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC

$ cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand

Procédure d'établissement de la liste des fournisseurs de matériel

Les fournisseurs de matériel sont automatiquement détectés et chargés. Pour plus d'informations, reportez-vous à la page de manuel driver.conf(4).

Avant de commencer

Lorsque du matériel doit être utilisé au sein de la structure cryptographique, le matériel s'enregistre sur la SPI dans le noyau. La structure vérifie que le pilote matériel est signé. Plus précisément, la structure vérifie que le fichier d'objet du pilote est signé au moyen d'un certificat émis par Sun.

Par exemple, la carte Sun Crypto Accelerator 6000 (mca), le pilote NCP pour l'accélérateur cryptographique sur les processeurs UltraSPARC T1 et T2 (ncp) et le pilote n2cp pour les processeurs UltraSPARC T2 (n2cp) connectent les mécanismes matériels à la structure.

Pour plus d'informations sur l'obtention de la signature pour votre fournisseur, reportez-vous à la section Signatures binaires pour les logiciels tiers.

Répertoriez les fournisseurs de matériel disponibles sur le système.
```
% cryptoadm list
… 
kernel hardware providers:
   ncp/0
```

Répertoriez les mécanismes fournis par la puce ou la carte.

% cryptoadm list -m provider=ncp/0
ncp/0:
CKM_DSA
CKM_RSA_X_509
...
CKM_ECDH1_DERIVE
CKM_ECDSA

Répertoriez les mécanismes disponibles pour l'utilisation sur la puce ou la carte.
```
% cryptoadm list -p provider=ncp/0
ncp/0: all mechanisms are enabled.
```

Procédure de désactivation des mécanismes et fonctions d'un fournisseur de matériel

Vous pouvez désactiver de façon sélective des mécanismes et la fonction de nombres aléatoires à partir d'un fournisseur de matériel. Pour les réactiver, reportez-vous à l'Exemple 12-30. Le matériel de cet exemple, la carte Sun Crypto Accelerator 1000, fournit un générateur de nombres aléatoires.

Avant de commencer

Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

Choisissez les mécanismes ou la fonction à désactiver.

Répertoriez le fournisseur de matériel.

# cryptoadm list
...
Kernel hardware providers:
    dca/0

Désactivez les mécanismes sélectionnés.

# cryptoadm list -m provider=dca/0
dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC
random is enabled.
# cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC.
random is enabled.

Désactivez le générateur de nombres aléatoires.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Désactivez tous les mécanismes. Ne désactivez pas le générateur de nombres aléatoires.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is enabled.

Désactivez toutes les fonctions et tous les mécanismes sur le matériel.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is disabled.

Exemple 12-30 Activation des mécanismes et fonctions sur un fournisseur de matériel

Dans les exemples suivants, les mécanismes désactivés sur un élément matériel sont activés individuellement.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB

.
random is enabled.
# cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB. 
random is enabled.

Dans l'exemple ci-dessous, seul le générateur aléatoire est activé.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. 
random is disabled.
# cryptoadm enable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is enabled.

Dans l'exemple ci-dessous, seuls les mécanismes sont activés. Le générateur aléatoire reste désactivé.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is disabled.
# cryptoadm enable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Dans l'exemple suivant, toutes les fonctions et tous les mécanismes de la carte sont activés.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB.
random is disabled.
# cryptoadm enable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.

Procédure d'actualisation ou de redémarrage de tous les services cryptographiques

Par défaut, la structure cryptographique est activée. Lorsque le démon kcfd échoue pour une raison quelconque, l'utilitaire de gestion des services peut être utilisé pour redémarrer les services cryptographiques. Pour plus d'informations, reportez-vous aux pages de manuel smf(5) et svcadm(1M). Pour connaître l'effet du redémarrage des services cryptographiques sur les zones, reportez-vous à la section Services cryptographiques et zones.

Avant de commencer

Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

Vérifiez l'état des services cryptographiques.

% svcs cryptosvc
 STATE          STIME    FMRI
offline         Dec_09   svc:/system/cryptosvc:default

Activez les services cryptographiques.
```
# svcadm enable svc:/system/cryptosvc
```

Exemple 12-31 Actualisation des services cryptographiques

Dans l'exemple suivant, les services cryptographiques sont actualisés dans la zone globale. Par conséquent, la stratégie de cryptographie au niveau du noyau dans chaque zone non globale est également actualisée.

# svcadm refresh system/cryptosvc

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français)