Administration de la structure cryptographique (tâches)

Cette section explique l'administration des fournisseurs de logiciels et des fournisseurs de matériel dans la structure cryptographique. L'utilisation de ces fournisseurs peut être empêchée lorsque cela est souhaitable. Par exemple, vous pouvez désactiver l'implémentation d'un algorithme d'un seul fournisseur de logiciels. Ensuite, vous pouvez forcer le système à utiliser l'algorithme d'un autre fournisseur de logiciels.

Administration de la structure cryptographique (liste des tâches)

La liste des tâches suivante présente les procédures permettant d'administrer les fournisseurs de logiciels et matériels dans la structure cryptographique.

Tâche	Description	Voir
Etablissement de la liste des fournisseurs dans la structure cryptographique	Répertorie les algorithmes, les bibliothèques et les périphériques matériels disponibles pour l'utilisation dans la structure cryptographique	Etablissement de la liste des fournisseurs disponibles
Activation du mode FIPS-140.	Exécute la structure cryptographique conformément à la norme du gouvernement américain relatives aux modules cryptographiques.	Utilisation de la structure cryptographique en mode FIPS-140
Ajout d'un fournisseur de logiciels.	Ajoute une bibliothèque PKCS #11 ou un module de noyau à la structure cryptographique. Le fournisseur doit être signé.	Ajout d'un fournisseur de logiciels
Interdiction d'utilisation d'un mécanisme au niveau de l'utilisateur.	Empêche l'utilisation d'un mécanisme logiciel. Le mécanisme peut être activé à nouveau.	Interdiction de l'utilisation d'un mécanisme au niveau de l'utilisateur
Désactivation temporaire des mécanismes d'un module de noyau.	Empêche temporairement l'utilisation d'un mécanisme. Généralement utilisée à des fins de test.	Interdiction de l'utilisation d'un fournisseur de logiciels noyau
Désinstallation d'une bibliothèque.	Empêche l'utilisation d'un fournisseur de logiciels utilisateur.	Exemple 12-21
Désinstallation d'un fournisseur de noyau.	Empêche l'utilisation d'un fournisseur de logiciels noyau.	Exemple 12-23
Etablissement de la liste des fournisseurs de matériel disponibles.	Affiche le matériel connecté, les mécanismes que le matériel fournit et les mécanismes activés pour utilisation.	Etablissement de la liste des fournisseurs de matériel
Désactivation de mécanismes d'un fournisseur de matériel.	Permet de s'assurer que les mécanismes sélectionnés sur un accélérateur matériel ne sont pas utilisés.	Désactivation des mécanismes et fonctions d'un fournisseur de matériel
Redémarrage ou actualisation des services cryptographiques.	Permet de s'assurer que les services cryptographiques sont disponibles.	Actualisation ou redémarrage de tous les services cryptographiques

Etablissement de la liste des fournisseurs disponibles

La structure cryptographique fournit des algorithmes pour plusieurs types de consommateurs :

Les fournisseurs au niveau de l'utilisateur offrent une interface de chiffrement PKCS #11 aux applications liées à la bibliothèque libpkcs11.
Les fournisseurs de logiciels noyau offrent des algorithmes pour IPsec, Kerberos et d'autres composants de noyau Oracle Solaris
Les fournisseurs de matériel noyau offrent des algorithmes disponibles pour les consommateurs de noyau et les applications via la bibliothèque pkcs11_kernel.

Répertoriez les fournisseurs dans un format court.
Remarque - Le contenu et le format de la liste de fournisseurs varient selon les versions d'Oracle Solaris et les plates-formes. Exécutez la commande cryptoadm list sur votre système pour afficher les fournisseurs que votre système prend en charge.

Seuls les mécanismes au niveau de l'utilisateur sont disponibles pour les utilisateurs standard.
```
% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Provider: /usr/lib/security/$ISA/pkcs11_tpm.so

Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0
```

Répertoriez les fournisseurs et leurs mécanismes dans la structure cryptographique.

Tous les mécanismes sont répertoriés dans la sortie suivante. Cependant, certains de ces mécanismes peuvent ne pas être disponibles pour l'utilisation. Pour répertorier uniquement les mécanismes approuvés pour l'utilisation par l'administrateur, reportez-vous à l'Exemple 12-16.

La sortie est tronquée à des fins d'affichage.

% cryptoadm list -m
User-level providers:
=====================

Provider: /usr/lib/security/$ISA/pkcs11_kernel.so

Mechanisms:
CKM_DSA                      
CKM_RSA_X_509                
CKM_RSA_PKCS                 
...
CKM_SHA256_HMAC_GENERAL      
CKM_SSL3_MD5_MAC             

Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC                  
CKM_DES_CBC_PAD              
CKM_DES_ECB                  
CKM_DES_KEY_GEN              
CKM_DES_MAC_GENERAL          
...
CKM_ECDSA_SHA1               
CKM_ECDH1_DERIVE             

Provider: /usr/lib/security/$ISA/pkcs11_tpm.so
/usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented.

Kernel providers:
==========================
des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC,
CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC
arcfour: CKM_RC4
blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC
ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1
sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL
sha2: CKM_SHA224,CKM_SHA224_HMAC,...CKM_SHA512_256_HMAC_GENERAL

md4: CKM_MD4
md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL
rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS,CKM_SHA224_RSA_PKCS,
CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS
swrand: No mechanisms presented.
n2rng/0: No mechanisms presented.
ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
CKM_ECDH1_DERIVE,CKM_ECDSA
n2cp/0: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES3_CBC,...CKM_SSL3_SHA1_MAC

Exemple 12-15 Recherche de mécanismes cryptographiques existants

Dans l'exemple suivant, tous les mécanismes offerts par la bibliothèque au niveau de l'utilisateur, pkcs11_softtoken, sont répertoriés.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC                  
CKM_DES_CBC_PAD              
CKM_DES_ECB                  
CKM_DES_KEY_GEN              
CKM_DES_MAC_GENERAL          
CKM_DES_MAC 
…
CKM_ECDSA                    
CKM_ECDSA_SHA1               
CKM_ECDH1_DERIVE

Exemple 12-16 Recherche de mécanismes cryptographiques disponibles

La stratégie détermine les mécanismes utilisables. L'administrateur définit la stratégie. Un administrateur peut choisir de désactiver des mécanismes à partir d'un fournisseur particulier. L'option -p affiche la liste des mécanismes autorisés par la stratégie définie par l'administrateur.

% cryptoadm list -p
User-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.random is enabled.
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, random is enabled.
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.

Kernel providers:
==========================
des: all mechanisms are enabled.
aes: all mechanisms are enabled.
arcfour: all mechanisms are enabled.
blowfish: all mechanisms are enabled.
ecc: all mechanisms are enabled.
sha1: all mechanisms are enabled.
sha2: all mechanisms are enabled.
md4: all mechanisms are enabled.
md5: all mechanisms are enabled.
rsa: all mechanisms are enabled.
swrand: random is enabled.
n2rng/0: all mechanisms are enabled. random is enabled.
ncp/0: all mechanisms are enabled.
n2cp/0: all mechanisms are enabled.

Exemple 12-17 Détermination des fonctions exécutées par les différents mécanismes cryptographiques

Les mécanismes exécutent des fonctions cryptographiques spécifiques, telles que la signature ou la génération de clé. Les options -v -m affichent tous les mécanismes et leurs fonctions.

Dans cet exemple, l'administrateur souhaite déterminer les fonctions pour lesquelles le mécanisme CKM_ECDSA* peut être utilisé.

% cryptoadm list -vm
User-level providers:
=====================
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Number of slots: 3
Slot #2
Description: ncp/0 Crypto Accel Asym 1.0                                     
...
CKM_ECDSA                    163  571  X  .  .  .  X  .  X  .  .  .  .  .  .  .
...

Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
...
CKM_ECDSA       112 571  .  .  .  .  X  .  X  .  .  .  .  .  .  .  .
CKM_ECDSA_SHA1  112 571  .  .  .  .  X  .  X  .  .  .  .  .  .  .  .
...
Kernel providers:
=================
...
ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1
...

La liste indique que ces mécanismes sont disponibles à partir des fournisseurs au niveau de l'utilisateur suivants :

CKM_ECDSA et CKM_ECDSA_SHA1 : en tant que mise en oeuvre logicielle dans la bibliothèque /usr/lib/security/$ISA/pkcs11_softtoken.so
CKM_ECDSA : accéléré par ncp/0 Crypto Accel Asym 1.0 dans la bibliothèque /usr/lib/security/$ISA/pkcs11_kernel.so

Chaque élément dans une entrée représente un élément d'information sur le mécanisme. Pour ces mécanismes ECC, la liste indique les éléments suivants :

Longueur minimale : 112 octets
Longueur maximale : 571 octets
Matériel : est ou n'est pas disponible sur le matériel
Chiffrer : n'est pas utilisé pour chiffrer les données.
Déchiffrer : n'est pas utilisé pour déchiffrer les données.
Résumé : n'est pas utilisé pour créer des résumés de message.
Signer : est utilisé pour signer les données.
Signer + récupérer : n'est pas utilisé pour signer les données, lorsque les données peuvent être récupérées à partir de la signature.
Vérifier : est utilisé pour vérifier les données signées.
Vérifier + récupérer : n'est pas utilisé pour vérifier les données qui peuvent être récupérées à partir de la signature.
Génération de clé : n'est pas utilisé pour générer une clé privée.
Génération de paire : n'est pas utilisé pour générer une paire de clés.
Encapsuler : n'est pas utilisé pour encapsuler c'est-à-dire, chiffrer, une clé existante.
Désencapsuler : n'est pas utilisé pour désencapsuler une clé encapsulée.
Dériver : n'est pas utilisé pour dériver une nouvelle clé à partir d'une clé de base.
Capacités EC : capacités EC (courbe elliptique) absentes qui ne sont pas couvertes par les éléments précédents

Ajout d'un fournisseur de logiciels

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Crypto Management (gestion de la cryptographie). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Répertoriez les fournisseurs de logiciels disponibles sur le système.

% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.

Kernel software providers:
    des
    aes
    arcfour
    blowfish
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Ajoutez le fournisseur à partir d'un référentiel.
Le logiciel du fournisseur existant a reçu un certificat émis par Oracle.
Actualisez les fournisseurs.
Vous devez actualiser les fournisseurs si vous avez ajouté un fournisseur de logiciels ou si vous avez ajouté un matériel et spécifié une stratégie pour ce matériel.
```
# svcadm refresh svc:/system/cryptosvc
```

Localisez le nouveau fournisseur dans la liste.

Dans ce cas, un nouveau fournisseur de logiciels noyau a été installé.

# cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc 
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    sha3 <-- added provider
…

Exemple 12-18 Ajout d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, une bibliothèque PKCS 11 signée est installée.

# pkgadd -d /cdrom/cdrom0/SolarisNew
Answer the prompts
# svcadm refresh system/cryptosvc
# cryptoadm list
user-level providers:
==========================
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /usr/lib/security/$ISA/pkcs11_tpm.so
    /opt/lib/$ISA/libpkcs11.so.1 <-- added provider

Les développeurs qui testent une bibliothèque avec la structure cryptographique peuvent installer la bibliothèque manuellement.

# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1

Utilisation de la structure cryptographique en mode FIPS-140

Par défaut, le mode FIPS-140 est désactivé dans Oracle Solaris. Au cours de cette procédure, vous créez un environnement d'initialisation pour le mode FIPS-140, puis activez FIPS-140 et initialisez dans le nouvel environnement. Cette méthode vous permet d'effectuer une récupération après une panique du système qui peut se produire à l'occasion des tests de compatibilité FIPS-140. Pour plus d'informations, reportez-vous à la page de manuel cryptoadm(1M) et à la section Structure cryptographique et FIPS-140.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Déterminez si le système est en mode FIPS-140.

% cryptoadm list fips-140
User-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled.

Kernel software providers:
==========================
des: FIPS-140 mode is disabled.
aes: FIPS-140 mode is disabled.
ecc: FIPS-140 mode is disabled.
sha1: FIPS-140 mode is disabled.
sha2: FIPS-140 mode is disabled.
rsa: FIPS-140 mode is disabled.
swrand: FIPS-140 mode is disabled.

Kernel hardware providers:
=========================:

Créez un environnement d'initialisation pour votre version FIPS-140 de la structure cryptographique.
Avant d'activer le mode FIPS-140, vous devez créer, activer et initialiser un nouvel environnement d'initialisation à l'aide de la commande beadm. Un système compatible A FIPS-140 exécute des tests de conformité qui peuvent entraîner une panique en cas d'échec. Par conséquent, il est important de disposer d'un environnement d'initialisation que vous pouvez initialiser pour rétablir votre système pendant que vous résolvez les problèmes relatifs à la limite FIPS-140.
1. Créez un environnement d'initialisation en fonction de votre environnement d'initialisation actuel.
  Dans cet exemple, vous créez un environnement d'initialisation nommé S11.1-FIPS.
```
# beadm create S11.1-FIPS-140
```
2. Activez cet environnement d'initialisation.
```
# beadm activate S11.1-FIPS-140
```
3. Réinitialisez le système.
4. Activez le mode FIPS-140 dans le nouvel environnement d'initialisation.
```
# cryptoadm enable fips-140
```
  Remarque - Cette sous-commande ne désactive pas les algorithmes non certifiés FIPS-140 de la bibliothèque pkcs11_softtoken de niveau utilisateur et des fournisseurs de logiciels noyau. Les utilisateurs de la structure doivent utiliser uniquement des algorithmes compatibles FIPS-140.
  Pour plus d'informations sur les effets du mode FIPS-140, reportez-vous à la page de manuel cryptoadm(1M).

Si vous ne souhaitez pas que FIPS-140 soit activé, désactivez le mode FIPS-140.

Vous pouvez réinitialiser vers l'environnement d'initialisation d'origine ou désactiver FIPS-140 dans l'environnement d'initialisation actuel.

Initialisez l'environnement d'initialisation d'origine.

# beadm list
BE               Active Mountpoint Space   Policy Created
--               ------ ---------- -----   ------ -------
S11.1            -      -          48.22G   static 2012-10-10 10:10
S11.1-FIPS-140   NR     /          287.01M  static 2012-11-18 18:18
# beadm activate S11.1
# beadm list
BE               Active Mountpoint Space   Policy Created
--               ------ ---------- -----   ------ -------
S11.1            R      -          48.22G   static 2012-10-10 10:10
S11.1-FIPS-140   N      /          287.01M  static 2012-11-18 18:18
# reboot

Désactivez le mode FIPS-140 dans l'environnement d'initialisation actuel et réinitialisez.
```
# cryptoadm disable fips-140
```
Le mode FIPS-140 reste actif tant que le système n'a pas été réinitialisé.
```
# reboot
```

Interdiction de l'utilisation d'un mécanisme au niveau de l'utilisateur

Si certains des mécanismes cryptographiques provenant d'un fournisseur de bibliothèques ne doivent pas être utilisés, vous pouvez supprimer les mécanismes sélectionnés. Cette procédure utilise les mécanismes DES de la bibliothèque pkcs11_softtoken comme un exemple.

Avant de commencer

Répertoriez les mécanismes offerts par un fournisseur de logiciels particulier au niveau de l'utilisateur.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
…

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p
user-level providers:
=====================
…
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.
…

Désactivez les mécanismes qui ne doivent pas être utilisés.

$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Exemple 12-19 Activation d'un mécanisme d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, un mécanisme DES désactivé est de nouveau rendu disponible pour l'utilisation.

$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Exemple 12-20 Activation de tous les mécanismes d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, tous les mécanismes de la bibliothèque au niveau de l'utilisateur sont activés.

$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

Exemple 12-21 Suppression définitive de la disponibilité d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, la bibliothèque libpkcs11.so.1 est supprimée.

$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1
$ cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /usr/lib/security/$ISA/pkcs11_tpm.so

kernel providers:
…

Interdiction de l'utilisation d'un fournisseur de logiciels noyau

Si la structure cryptographique fournit plusieurs modes d'un fournisseur tel que AES, vous pouvez supprimer un mécanisme lent ou endommagé. Cette procédure utilise l'algorithme AES comme exemple.

Avant de commencer

Répertoriez les mécanismes qui sont offerts par un fournisseur de logiciels noyau particulier.

$ cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC,
CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Désactivez le mécanisme qui ne doit pas être utilisé.
```
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
```

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.

Exemple 12-22 Activation d'un mécanisme d'un fournisseur de logiciels noyau

Dans l'exemple suivant, un mécanisme AES désactivé est de nouveau rendu disponible pour l'utilisation.

cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,
CKM_AES_GCM,CKM_AES_GMAC,CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
$ cryptoadm enable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Exemple 12-23 Suppression temporaire de la disponibilité d'un fournisseur de logiciels noyau

Dans l'exemple suivant, l'utilisation du fournisseur AES est temporairement rendue impossible. La sous-commande unload est utile pour empêcher le chargement automatique d'un fournisseur pendant que le fournisseur est en cours de désinstallation. Par exemple, la sous-commande unload peut être utilisée lors de l'installation d'un patch qui affecte le fournisseur.

$ cryptoadm unload provider=aes

$ cryptoadm list 
…
Kernel software providers:
    des
    aes (inactive)
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Le fournisseur AES reste indisponible jusqu'à l'actualisation de la structure cryptographique.

$ svcadm refresh system/cryptosvc

$ cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Si un consommateur de noyau utilise le fournisseur de logiciels noyau, le logiciel n'est pas déchargé. Un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.

Exemple 12-24 Suppression définitive de la disponibilité du fournisseur de logiciels

Dans l'exemple suivant, l'utilisation du fournisseur AES est définitivement rendue impossible. Une fois supprimé, le fournisseur AES n'apparaît plus dans la liste des stratégies des fournisseurs de logiciels noyau.

$ cryptoadm uninstall provider=aes

$ cryptoadm list 
…
Kernel software providers:
    des
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Si un consommateur de noyau utilise ce fournisseur de logiciels noyau, un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.

Exemple 12-25 Réinstallation d'un fournisseur de logiciels noyau supprimé

Dans l'exemple suivant, le fournisseur de logiciels noyau AES est réinstallé.

$ cryptoadm install provider=aes \
mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,
CKM_AES_GCM,CKM_AES_GMAC,CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC

$ cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Etablissement de la liste des fournisseurs de matériel

Les fournisseurs de matériel sont automatiquement détectés et chargés. Pour plus d'informations, reportez-vous à la page de manuel driver.conf(4).

Avant de commencer

Lorsque du matériel doit être utilisé au sein de la structure cryptographique, le matériel s'enregistre sur la SPI dans le noyau. La structure vérifie que le pilote matériel est signé. Plus précisément, la structure vérifie que le fichier d'objet du pilote est signé au moyen d'un certificat émis par Sun.

Par exemple, la carte Sun Crypto Accelerator 6000 (mca), le pilote NCP pour l'accélérateur cryptographique sur les processeurs UltraSPARC T1 et T2 (ncp) et le pilote n2cp pour les processeurs UltraSPARC T2 (n2cp) connectent les mécanismes matériels à la structure.

Pour plus d'informations sur l'obtention de la signature pour votre fournisseur, reportez-vous à la section Signatures binaires pour les logiciels tiers.

Répertoriez les fournisseurs de matériel disponibles sur le système.
```
% cryptoadm list
… 
kernel hardware providers:
   ncp/0
```

Répertoriez les mécanismes fournis par la puce ou la carte.

% cryptoadm list -m provider=ncp/0
ncp/0:
CKM_DSA
CKM_RSA_X_509
...
CKM_ECDH1_DERIVE
CKM_ECDSA

Répertoriez les mécanismes disponibles pour l'utilisation sur la puce ou la carte.
```
% cryptoadm list -p provider=ncp/0
ncp/0: all mechanisms are enabled.
```

Désactivation des mécanismes et fonctions d'un fournisseur de matériel

Vous pouvez désactiver de façon sélective des mécanismes et la fonction de nombres aléatoires à partir d'un fournisseur de matériel. Pour les réactiver, reportez-vous à l'Exemple 12-26. Le matériel de cet exemple, la carte Sun Crypto Accelerator 1000, fournit un générateur de nombres aléatoires.

Avant de commencer

Choisissez les mécanismes ou la fonction à désactiver.

Répertoriez le fournisseur de matériel.

# cryptoadm list
...
Kernel hardware providers:
    dca/0

Désactivez les mécanismes sélectionnés.

# cryptoadm list -m provider=dca/0
dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC
random is enabled.
# cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC.
random is enabled.

Désactivez le générateur de nombres aléatoires.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Désactivez tous les mécanismes. Ne désactivez pas le générateur de nombres aléatoires.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is enabled.

Désactivez toutes les fonctions et tous les mécanismes sur le matériel.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is disabled.

Exemple 12-26 Activation des mécanismes et fonctions sur un fournisseur de matériel

Dans les exemples suivants, les mécanismes désactivés sur un élément matériel sont activés individuellement.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB

.
random is enabled.
# cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB. 
random is enabled.

Dans l'exemple ci-dessous, seul le générateur aléatoire est activé.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. 
random is disabled.
# cryptoadm enable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is enabled.

Dans l'exemple ci-dessous, seuls les mécanismes sont activés. Le générateur aléatoire reste désactivé.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is disabled.
# cryptoadm enable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Dans l'exemple suivant, toutes les fonctions et tous les mécanismes de la carte sont activés.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB.
random is disabled.
# cryptoadm enable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.

Actualisation ou redémarrage de tous les services cryptographiques

Par défaut, la structure cryptographique est activée. Lorsque le démon kcfd échoue pour une raison quelconque, l'utilitaire de gestion des services peut être utilisé pour redémarrer les services cryptographiques. Pour plus d'informations, reportez-vous aux pages de manuel smf(5) et svcadm(1M). Pour connaître l'effet du redémarrage des services cryptographiques sur les zones, reportez-vous à la section Services cryptographiques et zones.

Avant de commencer

Vérifiez l'état des services cryptographiques.

% svcs cryptosvc
 STATE          STIME    FMRI
offline         Dec_09   svc:/system/cryptosvc:default

Activez les services cryptographiques.
```
# svcadm enable svc:/system/cryptosvc
```

Exemple 12-27 Actualisation des services cryptographiques

Dans l'exemple suivant, les services cryptographiques sont actualisés dans la zone globale. Par conséquent, la stratégie de cryptographie au niveau du noyau dans chaque zone non globale est également actualisée.

# svcadm refresh system/cryptosvc

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français)