| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
이 절에서는 암호화 프레임워크에서 소프트웨어 공급자 및 하드웨어 공급자를 관리하는 방법을 설명합니다. 원하는 경우 소프트웨어 공급자 및 하드웨어 공급자를 사용에서 제할 수 있습니다. 예를 들어, 한 소프트웨어 공급자에서 알고리즘 구현을 사용 안함으로 설정할 수 있습니다. 그런 다음, 다른 소프트웨어 공급자에서 알고리즘을 사용하도록 시스템에 강제 적용할 수 있습니다.
다음 작업 맵은 암호화 프레임워크에서 소프트웨어 및 하드웨어 공급자를 관리하기 위한 절차를 가리킵니다.
|
암호화 프레임워크는 여러 유형의 소비자에 대한 알고리즘을 제공합니다.
사용자 레벨 공급자는 libpkcs11 라이브러리로 링크된 응용 프로그램에 PKCS #11 암호화 인터페이스를 제공합니다.
커널 소프트웨어 공급자는 IPsec, Kerberos 및 기타 Oracle Solaris 커널 구성 요소에 대한 알고리즘을 제공합니다.
커널 하드웨어 공급자는 커널 소비자에 사용 가능한 알고리즘을 pkcs11_kernel 라이브러리를 통해 응용 프로그램에 제공합니다.
주 - 공급자 목록의 내용 및 형식은 여러 Oracle Solaris 릴리스마다 다릅니다. 시스템에서 cryptoadm list 명령을 실행하여 시스템이 지원하는 공급자를 확인하십시오.
일반 사용자는 사용자 레벨의 방식만 사용할 수 있습니다.
% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Provider: /usr/lib/security/$ISA/pkcs11_tpm.so
Kernel software providers:
des
aes
arcfour
blowfish
ecc
sha1
sha2
md4
md5
rsa
swrand
Kernel hardware providers:
ncp/0다음 출력에 모든 방식이 나열됩니다. 그러나 나열된 방식 중 일부는 사용하지 못할 수 있습니다. 관리자가 사용 승인한 방식만 나열하려면 예 12-20을 참조하십시오.
표시 목적상 출력이 잘립니다.
% cryptoadm list -m User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented. Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL ... CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE Provider: /usr/lib/security/$ISA/pkcs11_tpm.so /usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented. Kernel software providers: ========================== des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC arcfour: CKM_RC4 blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1 sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL sha2: CKM_SHA256,CKM_SHA256_HMAC,CKM_SHA256_HMAC_GENERAL,CKM_SHA384,CKM_SHA384_HMAC, CKM_SHA384_HMAC_GENERAL,CKM_SHA512,CKM_SHA512_HMAC,CKM_SHA512_HMAC_GENERAL md4: CKM_MD4 md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS, CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS swrand: No mechanisms presented. Kernel hardware providers: ========================== ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN, CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN, CKM_ECDH1_DERIVE,CKM_ECDSA
예 12-19 기존 암호화 방식 찾기
다음 예에서 사용자 레벨 라이브러리 pkcs11_softtoken이 제공하는 모든 방식이 나열됩니다.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL CKM_DES_MAC … CKM_ECDSA CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE
예 12-20 사용 가능한 암호화 방식 찾기
정책에 따라 사용 가능한 방식이 결정됩니다. 관리자가 정책을 설정합니다. 관리자는 특정 공급자에서 방식이 사용되지 않도록 선택할 수 있습니다. -p 옵션은 관리자가 설정한 정책에 의해 허가된 방식 목록을 표시합니다.
% cryptoadm list -p User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled. /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_MD5. random is enabled. /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled. Kernel software providers: ========================== des: all mechanisms are enabled. aes: all mechanisms are enabled. arcfour: all mechanisms are enabled. blowfish: all mechanisms are enabled. ecc: all mechanisms are enabled. sha1: all mechanisms are enabled. sha2: all mechanisms are enabled. md4: all mechanisms are enabled. md5: all mechanisms are enabled. rsa: all mechanisms are enabled. swrand: random is enabled. Kernel hardware providers: ========================== ncp/0: all mechanisms are enabled. random is enabled.
예 12-21 어떤 암호화 방식이 어떤 기능을 수행하는지 확인
방식은 서명 또는 키 생성과 같은 특정 암호화 기능을 수행합니다. -v -m 옵션은 모든 방식과 해당 기능을 표시합니다.
이 경우 관리자가 CKM_ECDSA* 방식이 사용될 수 있는 기능이 무엇인지 확인할 수 있습니다.
% cryptoadm list -vm User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented. Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so ... CKM_ECDSA 112 571 . . . . X . X . . . . . . CKM_ECDSA_SHA1 112 571 . . . . X . X . . . . . . ...
목록에 의하면, 이러한 사용자 레벨 방식을 /usr/lib/security/$ISA/pkcs11_softtoken.so 라이브러리에서 사용할 수 있습니다.
각 항목은 방식에 대한 정보 조각을 나타냅니다. 이러한 ECC 방식에 나타나는 목록은 다음과 같습니다.
최소 길이 – 112바이트
최대 길이 – 571바이트
하드웨어 – 하드웨어에 사용할 수 없습니다.
암호화 – 데이터를 암호화하는 데 사용되지 않습니다.
해독 – 데이터를 해독하는 데 사용되지 않습니다.
다이제스트 – 메시지 다이제스트를 만드는 데 사용되지 않습니다.
서명 – 데이터를 서명하는 데 사용됩니다.
서명 + 복구 – 데이터를 서명으로부터 복구할 수 있는 경우 데이터를 서명하는 데 사용되지 않습니다.
확인 – 서명된 데이터를 확인하는 데 사용됩니다.
확인 + 복구 – 서명으로부터 복구할 수 있는 데이터를 확인하는 데 사용되지 않습니다.
키 생성 – 개인 키를 생성하는 데 사용되지 않습니다.
쌍 생성 – 키 쌍을 생성하는 데 사용되지 않습니다.
래핑 – 래핑하는 데 사용되지 않습니다. 즉, 기존 키를 암호화합니다.
언래핑 – 래핑된 키를 언래핑하는 데 사용되지 않습니다.
파생 – 기본 키로부터 새 키를 파생하는 데 사용되지 않습니다.
시작하기 전에
Crypto Management 권한 프로파일에 할당되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.
Kernel software providers:
des
aes
arcfour
blowfish
sha1
sha2
md4
md5
rsa
swrand
Kernel hardware providers:
ncp/0기존 공급자 소프트웨어는 Oracle에서 인증서를 발행했습니다.
소프트웨어 공급자를 추가한 경우 또는 하드웨어와 지정된 정책을 추가한 경우 공급자를 새로 고쳐야 합니다.
# svcadm refresh svc:/system/cryptosvc
이 경우 새 커널 소프트웨어 공급자가 설치되었습니다.
# cryptoadm list
…
Kernel software providers:
des
aes
arcfour
blowfish
ecc
sha1
sha2
md4
md5
rsa
swrand
sha3 <-- added provider
…예 12-22 사용자 레벨 소프트웨어 공급자 추가
다음 예에서 서명된 PKCS #11 라이브러리가 설치됩니다.
# pkgadd -d /cdrom/cdrom0/SolarisNew
Answer the prompts
# svcadm refresh system/cryptosvc
# cryptoadm list
user-level providers:
==========================
/usr/lib/security/$ISA/pkcs11_kernel.so
/usr/lib/security/$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_tpm.so
/opt/lib/$ISA/libpkcs11.so.1 <-- added provider
암호화 프레임워크로 라이브러리를 테스트 중인 개발자가 수동으로 라이브러리를 설치할 수 있습니다.
# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1
라이브러리 공급자의 암호화 방식 중 일부를 사용하면 안되는 경우 선택한 방식을 제거할 수 있습니다. 이 절차는 예제로 pkcs11_softtoken 라이브러리에서 DES 방식을 사용합니다.
시작하기 전에
Crypto Management 권한 프로파일에 할당되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN, …
$ cryptoadm list -p user-level providers: ===================== … /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled. …
$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
예 12-23 사용자 레벨 소프트웨어 공급자 방식을 사용으로 설정
다음 예에서 사용 안함으로 설정된 DES 방식을 다시 사용할 수 있도록 만듭니다.
$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, … $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled. $ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_ECB $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
예 12-24 모든 사용자 레벨 소프트웨어 공급자 방식을 사용으로 설정
다음 예에서 사용자 레벨 라이브러리의 모든 방식이 사용으로 설정됩니다.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled.
예 12-25 사용자 레벨 소프트웨어 공급자 가용성을 영구적으로 제거
다음 예에서 libpkcs11.so.1 라이브러리가 제거됩니다.
$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1
$ cryptoadm list
user-level providers:
/usr/lib/security/$ISA/pkcs11_kernel.so
/usr/lib/security/$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_tpm.so
kernel software providers:
…
암호화 프레임워크가 AES와 같은 여러 모드의 공급자를 제공하는 경우 느리거나 손상된 방식을 사용에서 제할 수 있습니다. 이 절차는 예제로 AES 알고리즘을 사용합니다.
시작하기 전에
Crypto Management 권한 프로파일에 할당되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
$ cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB.
예 12-26 커널 소프트웨어 공급자 방식을 사용으로 설정
다음 예에서 사용 안함으로 설정된 AES 방식을 다시 사용할 수 있도록 만듭니다.
cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC $ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. $ cryptoadm enable provider=aes mechanism=CKM_AES_ECB $ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
예 12-27 커널 소프트웨어 공급자 가용성을 일시적으로 제거
다음 예에서 AES 공급자를 일시적으로 사용에서 제합니다. 설치를 제거하는 동안 공급자가 자동으로 로드되지 못하게 하려면 unload 하위 명령이 유용합니다. 예를 들어, unload 하위 명령은 공급자에 영향을 미치는 패치를 설치할 때 사용됩니다.
$ cryptoadm unload provider=aes
$ cryptoadm list
…
Kernel software providers:
des
aes (inactive)
arcfour
blowfish
ecc
sha1
sha2
md4
md5
rsa
swrand
암호화 프레임워크를 새로 고칠 때까지 AES 공급자를 사용할 수 없습니다.
$ svcadm refresh system/cryptosvc
$ cryptoadm list
…
Kernel software providers:
des
aes
arcfour
blowfish
ecc
sha1
sha2
md4
md5
rsa
swrand
커널 소비자가 커널 소프트웨어 공급자를 사용 중인 경우 소프트웨어가 언로드되지 않습니다. 오류 메시지가 표시되고 공급자를 계속 사용할 수 있습니다.
예 12-28 소프트웨어 공급자 가용성을 영구적으로 제거
다음 예에서 AES 공급자를 사용에서 제합니다. 일단 제거된 AES 공급자는 커널 소프트웨어 공급자의 정책 목록에 나타나지 않습니다.
$ cryptoadm uninstall provider=aes
$ cryptoadm list
…
Kernel software providers:
des
arcfour
blowfish
ecc
sha1
sha2
md4
md5
rsa
swrand
커널 소비자가 커널 소프트웨어 공급자를 사용 중인 경우 오류 메시지가 표시되고 공급자를 계속 사용할 수 있습니다.
예 12-29 제거된 커널 소프트웨어 공급자 재설치
다음 예에서 AES 커널 소프트웨어 공급자가 재설치됩니다.
$ cryptoadm install provider=aes \ mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list
…
Kernel software providers:
des
aes
arcfour
blowfish
ecc
sha1
sha2
md4
md5
rsa
swrand
하드웨어 공급자는 자동으로 찾아서 로드됩니다. 자세한 내용은 driver.conf(4) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
암호화 프레임워크 내에서 사용하려는 하드웨어가 있을 때 하드웨어가 커널에서 SPI로 등록됩니다. 프레임워크가 하드웨어 드라이버를 서명했는지 확인합니다. 특히, Sun이 발행한 인증서로 드라이버의 객체 파일을 서명했는지 확인합니다.
예를 들어, Sun Crypto Accelerator 6000 보드(mca), UltraSPARC T1 및 T2 프로세서의 암호화 가속기용 ncp 드라이버(ncp), UltraSPARC T2 프로세서의 n2cp 드라이버(n2cp)가 하드웨어 방식을 프레임워크로 플러그인합니다.
공급자 서명 얻기에 대한 내용은 타사 소프트웨어에 대한 이진 서명을 참조하십시오.
% cryptoadm list … kernel hardware providers: ncp/0
% cryptoadm list -m provider=ncp/0 ncp/0: CKM_DSA CKM_RSA_X_509 ... CKM_ECDH1_DERIVE CKM_ECDSA
% cryptoadm list -p provider=ncp/0 ncp/0: all mechanisms are enabled.
하드웨어 공급자에서 방식과 난수 기능을 선택적으로 사용 안할 수 있습니다. 다시 사용으로 설정하려면 예 12-30을 참조하십시오. 이 예제의 하드웨어인 Sun Crypto Accelerator 1000 보드는 난수 생성기를 제공합니다.
시작하기 전에
Crypto Management 권한 프로파일에 할당되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
하드웨어 공급자를 나열합니다.
# cryptoadm list
...
Kernel hardware providers:
dca/0# cryptoadm list -m provider=dca/0 dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC random is enabled. # cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is disabled.
예 12-30 하드웨어 공급자에서 방식 및 기능을 사용으로 설정
다음 예에서 하드웨어 조각에 사용 안함으로 설정된 방식이 선택적으로 사용으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB
. random is enabled. # cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB. random is enabled.
다음 예에서 난수 생성기만 사용으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is enabled.
다음 예에서 방식만 사용으로 설정됩니다. 난수 생성기는 계속 사용할 수 없습니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
다음 예에서 보드의 모든 기능 및 방식이 사용으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB. random is disabled. # cryptoadm enable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled.
기본적으로 암호화 프레임워크는 사용으로 설정됩니다. 어떤 이유로 kcfd 데몬을 실패할 때 SMF(서비스 관리 기능)를 사용하여 암호화 서비스를 다시 시작할 수 있습니다. 자세한 내용은 smf(5) 및 svcadm(1M) 매뉴얼 페이지를 참조하십시오. 암호화 서비스 다시 시작이 영역에 미치는 영향은 암호화 서비스 및 영역을 참조하십시오.
시작하기 전에
Crypto Management 권한 프로파일에 할당되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
% svcs cryptosvc STATE STIME FMRI offline Dec_09 svc:/system/cryptosvc:default
# svcadm enable svc:/system/cryptosvc
예 12-31 암호화 서비스 새로 고침
다음 예에서 암호화 서비스를 전역 영역에서 새로 고칩니다. 따라서 모든 비전역 영역의 커널 레벨 암호화 정책도 새로 고쳐집니다.
# svcadm refresh system/cryptosvc
|