탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
프레임워크는 공급자를 제공하는 관리자용, 사용자용, 개발자용 명령을 제공합니다.
관리 명령 – cryptoadm 명령은 사용 가능한 공급자와 그 기능을 나열하는 list 하위 명령을 제공합니다. 일반 사용자가 cryptoadm list 및 cryptoadm --help 명령을 실행할 수 있습니다.
기타 모든 cryptoadm 하위 명령을 실행하려면 Crypto Management 권한 프로파일이 포함된 역할을 맡거나 수퍼유저가 되어야 합니다. disable, install, uninstall과 같은 하위 명령을 프레임워크 관리에 사용할 수 있습니다. 자세한 내용은 cryptoadm(1M) 매뉴얼 페이지를 참조하십시오.
svcadm 명령을 사용하여 kcfd 데몬을 관리하고 커널에서 암호화 정책을 새로 고칠 수 있습니다. 자세한 내용은 svcadm(1M) 매뉴얼 페이지를 참조하십시오.
사용자 레벨 명령 – digest 및 mac 명령은 파일 무결성 서비스를 제공합니다. encrypt 및 decrypt 명령은 도청으로부터 파일을 보호합니다. 이러한 명령을 사용하려면 암호화 프레임워크로 파일 보호(작업 맵)를 참조하십시오.
cryptoadm 명령은 실행 중인 암호화 프레임워크를 관리합니다. 명령은 Crypto Management 권한 프로파일의 일부입니다. 이 프로파일은 암호화 프레임워크의 보안 관리를 위해 역할에 지정할 수 있습니다. cryptoadm 명령은 다음을 관리합니다.
암호화 공급자 정보 표시
공급자 방식 사용 또는 사용 안함
metaslot 사용 또는 사용 안함
svcadm 명령을 사용하여 암호화 서비스 데몬 kcfd를 새로 고치고 사용 또는 사용 안함으로 설정할 수 있습니다. 이 명령은 Oracle Solaris의 SMF(서비스 관리 기능) 기능의 일부입니다. svc:/system/cryptosvcs는 암호화 프레임워크에 대한 서비스 인스턴스입니다. 자세한 내용은 smf(5) 및 svcadm(1M) 매뉴얼 페이지를 참조하십시오.
암호화 프레임워크는 파일 무결성을 검사하고 파일을 암호화하고 파일을 해독하기 위한 사용자 레벨 명령을 제공합니다. 별도의 명령 elfsign을 통해 공급자가 프레임워크와 함께 사용할 이진을 서명할 수 있습니다.
digest 명령 – 하나 이상의 파일 또는 stdin에 대한 메시지 다이제스트를 계산합니다. 다이제스트는 파일 무결성 확인에 유용합니다. 다이제스트 함수의 예로 SHA1 및 MD5가 있습니다.
mac 명령 – 하나 이상의 파일 또는 stdin에 대한 MAC(메시지 인증 코드)를 계산합니다. MAC은 데이터를 인증된 메시지와 연관시킵니다. MAC을 사용하여 수신자는 메시지가 발신자로부터 왔는지, 메시지가 변조되지 않았는지 확인할 수 있습니다. sha1_mac 및 md5_hmac 방식은 MAC을 계산할 수 있습니다.
encrypt 명령 – 파일 또는 stdin을 대칭 암호화합니다. encrypt -l 명령은 사용 가능한 알고리즘을 나열합니다. 사용자 레벨 라이브러리 아래에 나열된 방식을 encrypt 명령에 사용할 수 있습니다. 프레임워크는 사용자 암호화를 위해 AES, DES, 3DES(3중 DES), ARCFOUR 방식을 제공합니다.
decrypt 명령 – encrypt 명령으로 암호화된 파일 또는 stdin을 해독합니다. decrypt 명령은 원본 파일을 암호화하는 데 사용된 것과 동일한 키 및 방식을 사용합니다.
elfsign 명령은 암호화 프레임워크와 함께 사용할 공급자를 서명할 수 있습니다. 일반적으로, 이 명령은 공급자의 개발자가 실행합니다.
elfsign 명령에는 인증서를 요청하고 이진을 서명하고 이진에서 서명을 확인하는 하위 명령이 있습니다. 서명되지 않은 이진은 암호화 프레임워크에서 사용할 수 없습니다. 검증 가능한 서명된 이진이 있는 공급자는 프레임워크를 사용할 수 있습니다.
타사 공급자를 암호화 프레임워크에 플러그인할 수 있습니다. 타사 공급자는 다음 객체 중 하나일 수 있습니다.
공급자의 객체를 Oracle의 인증서로 서명해야 합니다. 인증서 요청은 타사가 선택한 개인 키와 Oracle이 제공한 인증서를 기반으로 합니다. 인증서 요청을 Oracle로 보내면 타사를 등록한 후 인증서를 발행합니다. 그런 다음 타사 공급자 객체를 Oracle의 인증서로 서명합니다.
로드 가능한 커널 소프트웨어 모듈과 하드웨어 가속기용 커널 장치 드라이버도 커널에 등록해야 합니다. 등록은 암호화 프레임워크 SPI(서비스 공급자 인터페이스)를 통해 이루어집니다.