ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
このリリースでの暗号化フレームワークおよび SPARC T シリーズサーバー
22. Kerberos エラーメッセージとトラブルシューティング
暗号化フレームワークは、暗号化要求を処理するアルゴリズムと PKCS #11 ライブラリの共通の格納場所を提供します。PKCS #11 ライブラリは、RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki) に従って 実装されます。
図 11-1 暗号化フレームワークのレベル
暗号化フレームワークは、現在、Kerberos および IPsec に対する暗号化要求をカーネルレベルで処理します。ユーザーレベルコンシューマは、libsasl や IKE などです。カーネルの SSL (kssl) プロキシでは、暗号化フレームワークを使用します。詳細は、『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「SSL カーネルプロキシ は Web サーバー通信を暗号化する」および ksslcfg(1M) のマニュアルページを参照してください。
米国の輸出法では、公開された暗号化インタフェースの使用はライセンス供与が義務付けられています。暗号化フレームワークは、カーネル暗号化プロバイダおよび PKCS #11 暗号化プロバイダの署名を義務付けることにより、この現行法を満たしています。詳細については、「サードパーティーのソフトウェアのためのバイナリ署名」を参照してください。
このフレームワークにより、暗号化サービスのプロバイダは、そのサービスが Oracle Solaris の多数のコンシューマに使用されるようにすることができます。プロバイダはプラグインとも言います。暗号化フレームワークでは、3 種類のプラグインが使用可能です。
ユーザーレベルプラグイン – pkcs11_softtoken.so.1 など、PKCS #11 ライブラリを使用することによってサービスを提供する共有オブジェクト。
カーネルレベルプラグイン – AES など、ソフトウェアの暗号化アルゴリズムの実装を提供するカーネルモジュール。
暗号化フレームワークのアルゴリズムの多くは、SSE2 命令セットを備えた x86 および SPARC ハードウェア用に最適化されます。
ハードウェアプラグイン – デバイスドライバおよび関連するハードウェアアクセラレータ。たとえば、Niagara チップ、ncp および n2cp デバイスドライバです。ハードウェアアクセラレータにより、オペレーティングシステムの高価な暗号化機能が肩代わりされます。Sun Crypto Accelerator 6000 ボードは一例です。
このフレームワークは、ユーザーレベルプロバイダ用に標準インタフェースとして PKCS #11 v2.20 Amendment 3 ライブラリを実装しています。このライブラリは、サードパーティーのアプリケーションがプロバイダに到達するために使用できます。サードパーティーは、署名付きライブラリ、署名付きカーネルアルゴリズムモジュール、および署名付きデバイスドライバを暗号化フレームワークに追加することもできます。これらのプラグインは、pkgadd ユーティリティーによってサードパーティーのソフトウェアがインストールされると追加されます。このフレームワークの主なコンポーネントの一覧図については、『Oracle Solaris 11 セキュリティーサービス開発ガイド』の第 8 章「Oracle Solaris 暗号化フレームワークの紹介」を参照してください。