Administración de la estructura criptográfica (tareas)

En esta sección se describe cómo administrar proveedores de software y hardware en la estructura criptográfica. Los proveedores de software y hardware se pueden eliminar para no ser utilizados cuando se desee. Por ejemplo, puede desactivar la implementación de un algoritmo de un proveedor de software. A continuación, puede forzar al sistema a utilizar el algoritmo de otro proveedor de software.

Administración de la estructura criptográfica (mapa de tareas)

En el siguiente mapa de tareas se hace referencia a los procedimientos para administrar a los proveedores de software y hardware en la estructura criptográfica.

Tarea	Descripción	Para obtener instrucciones
Mostrar los proveedores en la estructura criptográfica.	Muestra los algoritmos, las bibliotecas y los dispositivos de hardware que están disponibles para su uso en la estructura criptográfica.	Cómo mostrar los proveedores disponibles
Activar el modo FIPS-140.	Ejecuta la estructura criptográfica para un estándar del gobierno de EE. UU. para módulos de criptografía.	Cómo utilizar la estructura criptográfica en modo FIPS-140
Agregar un proveedor de software.	Agrega una biblioteca PKCS #11 o un módulo de núcleo a la estructura criptográfica. El proveedor debe estar registrado.	Cómo agregar un proveedor de software
Evitar el uso de un mecanismo de nivel de usuario.	Elimina un mecanismo de software para que no sea utilizado. El mecanismo se puede volver a activar.	Cómo evitar el uso de un mecanismo de nivel de usuario
Desactivar temporalmente mecanismos de un módulo de núcleo.	Elimina temporalmente un mecanismo para que no sea utilizado. Se suele utilizar para realizar pruebas.	Cómo evitar el uso de un proveedor de software de núcleo
Desinstalar una biblioteca.	Elimina un proveedor de software de nivel de usuario para que no sea utilizado.	Ejemplo 12-21
Desinstalar un proveedor del núcleo.	Elimina un proveedor de software de núcleo para que no sea utilizado.	Ejemplo 12-23
Mostrar los proveedores de hardware disponibles.	Muestra el hardware conectado, los mecanismos que proporciona el hardware y los mecanismos que están activados para ser utilizados.	Cómo mostrar proveedores de hardware
Desactivar los mecanismos de un proveedor de hardware.	Garantiza que los mecanismos seleccionados en un acelerador de hardware no sean utilizados.	Cómo desactivar funciones y mecanismos del proveedor de hardware
Reiniciar o actualizar los servicios criptográficos.	Garantiza que los servicios criptográficos estén disponibles.	Cómo actualizar o reiniciar todos los servicios criptográficos

Cómo mostrar los proveedores disponibles

La estructura criptográfica proporciona algoritmos para diversos tipos de consumidores:

Los proveedores de nivel de usuario brindan una interfaz criptográfica PKCS #11 a las aplicaciones que están enlazadas a la biblioteca libpkcs11
Los proveedores de software de núcleo brindan algoritmos para IPsec, Kerberos y otros componentes de núcleo de Oracle Solaris
Los proveedores de hardware de núcleo brindan algoritmos que están disponibles para los consumidores del núcleo y para las aplicaciones por medio de la biblioteca pkcs11_kernel

Muestre los proveedores en un formato breve.
Nota - El contenido y el formato de la lista de proveedores varía para las distintas versiones y plataformas de Oracle Solaris. Ejecute el comando cryptoadm list en el sistema, para ver los proveedores que admite el sistema.

Sólo los mecanismos de nivel de usuario están disponibles para ser utilizados por los usuarios comunes.
```
% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Provider: /usr/lib/security/$ISA/pkcs11_tpm.so

Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0
```

Muestre los proveedores y sus mecanismos en la estructura criptográfica.

Todos los mecanismos se muestran en el siguiente resultado. Sin embargo, es posible que algunos de los mecanismos de la lista no estén disponibles para su uso. Para incluir en la lista sólo los mecanismos que el administrador ha aprobado para su uso, consulte el Ejemplo 12-16.

La salida se trunca con fines de visualización.

% cryptoadm list -m
User-level providers:
=====================

Provider: /usr/lib/security/$ISA/pkcs11_kernel.so

Mechanisms:
CKM_DSA                      
CKM_RSA_X_509                
CKM_RSA_PKCS                 
...
CKM_SHA256_HMAC_GENERAL      
CKM_SSL3_MD5_MAC             

Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC                  
CKM_DES_CBC_PAD              
CKM_DES_ECB                  
CKM_DES_KEY_GEN              
CKM_DES_MAC_GENERAL          
...
CKM_ECDSA_SHA1               
CKM_ECDH1_DERIVE             

Provider: /usr/lib/security/$ISA/pkcs11_tpm.so
/usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented.

Kernel providers:
==========================
des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC,
CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC
arcfour: CKM_RC4
blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC
ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1
sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL
sha2: CKM_SHA224,CKM_SHA224_HMAC,...CKM_SHA512_256_HMAC_GENERAL

md4: CKM_MD4
md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL
rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS,CKM_SHA224_RSA_PKCS,
CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS
swrand: No mechanisms presented.
n2rng/0: No mechanisms presented.
ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
CKM_ECDH1_DERIVE,CKM_ECDSA
n2cp/0: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES3_CBC,...CKM_SSL3_SHA1_MAC

Ejemplo 12-15 Búsqueda de los mecanismos criptográficos existentes

En el siguiente ejemplo, se muestran todos los mecanismos que ofrece la biblioteca de nivel de usuario, pkcs11_softtoken.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC                  
CKM_DES_CBC_PAD              
CKM_DES_ECB                  
CKM_DES_KEY_GEN              
CKM_DES_MAC_GENERAL          
CKM_DES_MAC 
…
CKM_ECDSA                    
CKM_ECDSA_SHA1               
CKM_ECDH1_DERIVE

Ejemplo 12-16 Búsqueda de los mecanismos criptográficos disponibles

La política determina qué mecanismos están disponibles para su uso. El administrador define la política. Un administrador puede elegir desactivar los mecanismos de un proveedor determinado. La opción -p muestra la lista de los mecanismos permitidos por la política que el administrador ha definido.

% cryptoadm list -p
User-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.random is enabled.
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, random is enabled.
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.

Kernel providers:
==========================
des: all mechanisms are enabled.
aes: all mechanisms are enabled.
arcfour: all mechanisms are enabled.
blowfish: all mechanisms are enabled.
ecc: all mechanisms are enabled.
sha1: all mechanisms are enabled.
sha2: all mechanisms are enabled.
md4: all mechanisms are enabled.
md5: all mechanisms are enabled.
rsa: all mechanisms are enabled.
swrand: random is enabled.
n2rng/0: all mechanisms are enabled. random is enabled.
ncp/0: all mechanisms are enabled.
n2cp/0: all mechanisms are enabled.

Ejemplo 12-17 Determinación de qué mecanismo criptográfico realiza cada función

Los mecanismos realizan funciones criptográficas específicas, como la firma o generación de claves. Las opciones -v y -m muestran cada mecanismo y sus funciones.

En esta instancia, el administrador desea determinar para qué funciones los mecanismos CKM_ECDSA* se pueden utilizar.

% cryptoadm list -vm
User-level providers:
=====================
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Number of slots: 3
Slot #2
Description: ncp/0 Crypto Accel Asym 1.0                                     
...
CKM_ECDSA                    163  571  X  .  .  .  X  .  X  .  .  .  .  .  .  .
...

Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
...
CKM_ECDSA       112 571  .  .  .  .  X  .  X  .  .  .  .  .  .  .  .
CKM_ECDSA_SHA1  112 571  .  .  .  .  X  .  X  .  .  .  .  .  .  .  .
...
Kernel providers:
=================
...
ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1
...

La lista indica que estos mecanismos están disponibles de los siguientes proveedores de nivel de usuario:

CKM_ECDSA y CKM_ECDSA_SHA1: como una implementación de software en la biblioteca /usr/lib/security/$ISA/pkcs11_softtoken.so.
CKM_ECDSA: acelerado por ncp/0 Crypto Accel Asym 1.0 en la biblioteca /usr/lib/security/$ISA/pkcs11_kernel.so.

Cada artículo en una entrada representa una parte de la información sobre el mecanismo. Para estos mecanismos ECC, la lista indica lo siguiente:

Longitud mínima: 112 bytes.
Longitud máxima: 571 bytes.
Hardware: está disponible o no está disponible en el hardware.
Cifrar: no se utiliza para cifrar datos.
Descifrar: no se utiliza para descifrar datos.
Resumir: no se utiliza para crear resúmenes de mensajes.
Firmar: se utiliza para firmar datos.
Firmar + recuperar: no se utiliza para firmar datos, donde los datos se pueden recuperar de la firma.
Verificar: se utiliza para verificar datos firmados.
Verificar + recuperar: no se utiliza para verificar los datos que se pueden recuperar de la firma.
Generación de claves: no se utiliza para generar una clave privada.
Generación de par: no se utiliza para generar un par de claves.
Ajustar: no se utiliza para ajustar. Es decir, cifrar una clave existente.
Desajustar: no se utiliza para desajustar una clave ajustada.
Derivar: no se utiliza para derivar una nueva clave de una clave de base.
Funciones EC: funciones EC ausentes que no se tratan en elementos anteriores.

Cómo agregar un proveedor de software

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de gestión de criptografía asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Muestre los proveedores de software que están disponibles para el sistema.

% cryptoadm list
User-level providers:
Provider: /usr/lib/security/$ISA/pkcs11_kernel.so
Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.

Kernel software providers:
    des
    aes
    arcfour
    blowfish
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Agregue el proveedor de un repositorio.
Oracle ha emitido un certificado al proveedor de software existente.
Actualice los proveedores.
Si agregó un proveedor de software o si agregó hardware y especificó una política para el hardware, debe refrescar los proveedores.
```
# svcadm refresh svc:/system/cryptosvc
```

Ubique al nuevo proveedor en la lista.

En este caso, se instaló un nuevo proveedor de software de núcleo.

# cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc 
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    sha3 <-- added provider
…

Ejemplo 12-18 Agregación de un proveedor de software de nivel de usuario

En el ejemplo siguiente, se instala una biblioteca PKCS #11 registrada.

# pkgadd -d /cdrom/cdrom0/SolarisNew
Answer the prompts
# svcadm refresh system/cryptosvc
# cryptoadm list
user-level providers:
==========================
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /usr/lib/security/$ISA/pkcs11_tpm.so
    /opt/lib/$ISA/libpkcs11.so.1 <-- added provider

Los desarrolladores que estén probando una biblioteca con la estructura criptográfica pueden instalar la biblioteca manualmente.

# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1

Cómo utilizar la estructura criptográfica en modo FIPS-140

De manera predeterminada, el modo FIPS-140 está desactivado en Oracle Solaris. En este procedimiento, puede crear un nuevo entorno de inicio (BE) para el modo FIPS-140 y luego activar FIPS-140 en el nuevo entorno de inicio. Este método le permite recuperarse de una situación crítica del sistema que puede surgir de pruebas de cumplimiento de FIPS-140. Para obtener más información, consulte la página del comando man cryptoadm(1M) y Estructura criptográfica y FIPS-140.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Determine si el sistema está en modo FIPS-140.

% cryptoadm list fips-140
User-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled.

Kernel software providers:
==========================
des: FIPS-140 mode is disabled.
aes: FIPS-140 mode is disabled.
ecc: FIPS-140 mode is disabled.
sha1: FIPS-140 mode is disabled.
sha2: FIPS-140 mode is disabled.
rsa: FIPS-140 mode is disabled.
swrand: FIPS-140 mode is disabled.

Kernel hardware providers:
=========================:

Cree un nuevo entorno de inicio para su versión de FIPS-140 de la estructura criptográfica.
Antes de activar el modo FIPS-140, debe primero crear, activar e iniciar un nuevo entorno de inicio utilizando el comando beadm. Un sistema compatible con FIPS-140 ejecuta pruebas de cumplimiento que pueden mostrar un aviso grave en caso de error. Por lo tanto, es importante tener un entorno de inicio disponible que pueda iniciar para poner el sistema en funcionamiento mientras depura problemas con el límite FIPS-140.
1. Cree un entorno de inicio basado en el entorno de inicio actual.
  En este ejemplo, se crea un entorno de inicio denominado S11.1-FIPS.
```
# beadm create S11.1-FIPS-140
```
2. Active el entorno de inicio.
```
# beadm activate S11.1-FIPS-140
```
3. Reinicie el sistema.
4. Active el modo FIPS-140 en el nuevo entorno de inicio.
```
# cryptoadm enable fips-140
```
  Nota - Este subcomando no desactiva los algoritmos aprobados que no pertenecen a FIPS-140 de la biblioteca pkcs11_softtoken de nivel de usuario y de los proveedores de software de núcleo. Los consumidores de la estructura son responsables del uso de algoritmos aprobados por FIPS-140.
  Para obtener más información sobre los efectos del modo FIPS-140, consulte la página del comando man cryptoadm(1M).

Cuando desea trabajar sin el modo FIPS -140 activado, desactívelo.

Puede reiniciar el entorno de inicio original o desactivar FIPS-140 en el entorno de inicio actual.

Inicie el entorno de inicio original.

# beadm list
BE               Active Mountpoint Space   Policy Created
--               ------ ---------- -----   ------ -------
S11.1            -      -          48.22G   static 2012-10-10 10:10
S11.1-FIPS-140   NR     /          287.01M  static 2012-11-18 18:18
# beadm activate S11.1
# beadm list
BE               Active Mountpoint Space   Policy Created
--               ------ ---------- -----   ------ -------
S11.1            R      -          48.22G   static 2012-10-10 10:10
S11.1-FIPS-140   N      /          287.01M  static 2012-11-18 18:18
# reboot

Desactive el modo FIPS-140 en el entorno de inicio actual y reinicie el sistema.
```
# cryptoadm disable fips-140
```
El modo FIPS-140 permanece en funcionamiento hasta que se reinicie el sistema.
```
# reboot
```

Cómo evitar el uso de un mecanismo de nivel de usuario

Si algunos de los mecanismos criptográficos de un proveedor de biblioteca no se deben utilizar, puede eliminar los mecanismos seleccionados. Este procedimiento utiliza el mecanismo DES en la biblioteca pkcs11_softtoken como ejemplo.

Antes de empezar

Muestre los mecanismos ofrecidos por un proveedor de software de nivel de usuario determinado.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
…

Muestre los mecanismos que están disponibles para su uso.

$ cryptoadm list -p
user-level providers:
=====================
…
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.
…

Desactive los mecanismos que no se deben utilizar.

$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB

Muestre los mecanismos que están disponibles para su uso.

$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Ejemplo 12-19 Activación de un mecanismo de proveedor de software de nivel de usuario

En el ejemplo siguiente, un mecanismo DES desactivado se vuelve a poner a disposición para su uso.

$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Ejemplo 12-20 Activación de todos los mecanismos de proveedor de software de nivel de usuario

En el ejemplo siguiente, se activan todos mecanismos de la biblioteca de nivel de usuario.

$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

Ejemplo 12-21 Eliminación permanente de la disponibilidad del proveedor de software de nivel de usuario

En el ejemplo siguiente, se elimina la biblioteca libpkcs11.so.1.

$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1
$ cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /usr/lib/security/$ISA/pkcs11_tpm.so

kernel providers:
…

Cómo evitar el uso de un proveedor de software de núcleo

Si la estructura criptográfica proporciona múltiples modos de un proveedor como AES, puede eliminar un mecanismo lento para no utilizarlo o un mecanismo dañado. Este procedimiento utiliza el algoritmo AES como ejemplo.

Antes de empezar

Muestre los mecanismos ofrecidos por un proveedor de software de núcleo determinado.

$ cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC,
CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC

Muestre los mecanismos que están disponibles para su uso.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Desactive el mecanismo que no se debe utilizar.

$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB

Muestre los mecanismos que están disponibles para su uso.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.

Ejemplo 12-22 Activación de un mecanismo de proveedor de software de núcleo

En el ejemplo siguiente, un mecanismo AES desactivado se vuelve a poner a disposición para su uso.

cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,
CKM_AES_GCM,CKM_AES_GMAC,CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
$ cryptoadm enable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Ejemplo 12-23 Eliminación temporal de la disponibilidad de un proveedor de software de núcleo

En el siguiente ejemplo, se elimina temporalmente el proveedor AES para no utilizarlo. El subcomando unload es útil para evitar que un proveedor se cargue automáticamente mientras el proveedor se está desinstalando. Por ejemplo, el subcomando unload se utilizaría durante la instalación de un parche que afecte al proveedor.

$ cryptoadm unload provider=aes

$ cryptoadm list 
…
Kernel software providers:
    des
    aes (inactive)
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

El proveedor AES no estará disponible hasta que la estructura criptográfica se haya refrescado.

$ svcadm refresh system/cryptosvc

$ cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Si un consumidor de núcleo está utilizando el proveedor de software de núcleo, el software no se descarga. Se muestra un mensaje de error y el proveedor sigue estando disponible para su uso.

Ejemplo 12-24 Eliminación permanente de la disponibilidad de un proveedor de software

En el siguiente ejemplo, se elimina el proveedor AES para no utilizarlo. Una vez eliminado, el proveedor AES no aparece en la lista de la política de los proveedores de software de núcleo.

$ cryptoadm uninstall provider=aes

$ cryptoadm list 
…
Kernel software providers:
    des
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Si el consumidor de núcleo está utilizando el proveedor de software de núcleo, se muestra un mensaje de error y el proveedor sigue estando disponible para su uso.

Ejemplo 12-25 Reinstalación de un proveedor de software de núcleo eliminado

En el siguiente ejemplo, se reinstala el proveedor de software de núcleo AES.

$ cryptoadm install provider=aes \
mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,
CKM_AES_GCM,CKM_AES_GMAC,CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC

$ cryptoadm list 
…
Kernel software providers:
    des
    aes
    arcfour
    blowfish
    ecc
    sha1
    sha2
    md4
    md5
    rsa
    swrand
    n2rng/0
    ncp/0
    n2cp/0

Cómo mostrar proveedores de hardware

Los proveedores de hardware se ubican y cargan automáticamente. Para obtener más información, consulte la página del comando man driver.conf(4).

Antes de empezar

Cuando cuenta con hardware que piensa usar dentro de la estructura criptográfica, el hardware se registra con el SPI en el núcleo. La estructura comprueba que el controlador de hardware esté registrado. Específicamente, la estructura comprueba que el archivo de objeto del controlador esté registrado con un certificado emitido por Sun.

Por ejemplo, la placa Sun Crypto Accelerator 6000 (mca), el controlador ncp para el acelerador criptográfico en los procesadores UltraSPARC T1 y T2 (ncp), y el controlador n2cp para los procesadores UltraSPARC T2 (n2cp) conectan los mecanismos de hardware a la estructura.

Para obtener información sobre cómo registrar a su proveedor, consulte Firmas binarias para software de terceros.

Muestre los proveedores de hardware que están disponibles en el sistema.
```
% cryptoadm list
… 
kernel hardware providers:
   ncp/0
```

Muestre los mecanismos que el chip o la placa proporcionan.

% cryptoadm list -m provider=ncp/0
ncp/0:
CKM_DSA
CKM_RSA_X_509
...
CKM_ECDH1_DERIVE
CKM_ECDSA

Muestre los mecanismos que están disponibles para su uso en el chip o la placa.
```
% cryptoadm list -p provider=ncp/0
ncp/0: all mechanisms are enabled.
```

Cómo desactivar funciones y mecanismos del proveedor de hardware

Puede desactivar de manera selectiva los mecanismos y la función de números aleatorios de un proveedor de hardware. Para activarlos nuevamente, consulte el Ejemplo 12-26. El hardware de este ejemplo, la placa Crypto Accelerator 1000 de Sun, proporciona un generador de números aleatorios.

Antes de empezar

Seleccione los mecanismos o la función que desea desactivar.

Muestre el proveedor de hardware.

# cryptoadm list
...
Kernel hardware providers:
    dca/0

Desactive los mecanismos seleccionados.

# cryptoadm list -m provider=dca/0
dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC
random is enabled.
# cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC.
random is enabled.

Desactive el generador de números aleatorios.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Desactive todos los mecanismos. No desactive el generador de números aleatorios.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is enabled.

Desactive todas las funciones y los mecanismos en el hardware.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is disabled.

Ejemplo 12-26 Activación de mecanismos y funciones en un proveedor de hardware

En los siguientes ejemplos, los mecanismos desactivados en una herramienta de hardware se activan de manera selectiva.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB

.
random is enabled.
# cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB. 
random is enabled.

En el ejemplo siguiente, sólo se activa el generador aleatorio.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. 
random is disabled.
# cryptoadm enable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is enabled.

En el ejemplo siguiente, sólo se activan los mecanismos. El generador aleatorio continúa desactivado.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is disabled.
# cryptoadm enable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

En el ejemplo siguiente, se activan todas las funciones y los mecanismos de la placa.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB.
random is disabled.
# cryptoadm enable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.

Cómo actualizar o reiniciar todos los servicios criptográficos

De manera predeterminada, la estructura criptográfica está activada. Cuando el daemon kcfd falla por cualquier motivo, la utilidad de gestión de servicios (SMF) se puede utilizar para reiniciar los servicios criptográficos. Para obtener más información, consulte las páginas del comando man smf(5) y svcadm(1M). Para ver el efecto del reinicio de servicios criptográficos en las zonas, consulte Zonas y servicios criptográficos.

Antes de empezar

Compruebe el estado de los servicios criptográficos.

% svcs cryptosvc
 STATE          STIME    FMRI
offline         Dec_09   svc:/system/cryptosvc:default

Active los servicios criptográficos.
```
# svcadm enable svc:/system/cryptosvc
```

Ejemplo 12-27 Actualización de los servicios criptográficos

En el siguiente ejemplo, se actualizan los servicios criptográficos en la zona global. Por lo tanto, también se actualiza la política criptográfica de nivel de núcleo de cada zona no global.

# svcadm refresh system/cryptosvc

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español)