탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
이 절에서는 암호화 프레임워크에서 소프트웨어 공급자 및 하드웨어 공급자를 관리하는 방법을 설명합니다. 원하는 경우 소프트웨어 공급자 및 하드웨어 공급자를 사용에서 제할 수 있습니다. 예를 들어, 한 소프트웨어 공급자에서 알고리즘 구현을 사용 안함으로 설정할 수 있습니다. 그런 다음, 다른 소프트웨어 공급자에서 알고리즘을 사용하도록 시스템에 강제 적용할 수 있습니다.
다음 작업 맵은 암호화 프레임워크에서 소프트웨어 및 하드웨어 공급자를 관리하기 위한 절차를 가리킵니다.
|
암호화 프레임워크는 여러 유형의 소비자에 대한 알고리즘을 제공합니다.
사용자 레벨 공급자는 libpkcs11 라이브러리로 링크된 응용 프로그램에 PKCS #11 암호화 인터페이스를 제공합니다.
커널 소프트웨어 공급자는 IPsec, Kerberos 및 기타 Oracle Solaris 커널 구성 요소에 대한 알고리즘을 제공합니다.
커널 하드웨어 공급자는 커널 소비자에 사용 가능한 알고리즘을 pkcs11_kernel 라이브러리를 통해 응용 프로그램에 제공합니다.
주 - 공급자 목록의 내용 및 형식은 여러 Oracle Solaris 릴리스 및 플랫폼마다 다릅니다. 시스템에서 cryptoadm list 명령을 실행하여 시스템이 지원하는 공급자를 확인하십시오.
일반 사용자는 사용자 레벨의 방식만 사용할 수 있습니다.
% cryptoadm list User-level providers: Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Provider: /usr/lib/security/$ISA/pkcs11_tpm.so Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand n2rng/0 ncp/0 n2cp/0
다음 출력에 모든 방식이 나열됩니다. 그러나 나열된 방식 중 일부는 사용하지 못할 수 있습니다. 관리자가 사용 승인한 방식만 나열하려면 예 12-16을 참조하십시오.
표시 목적상 출력이 잘립니다.
% cryptoadm list -m User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Mechanisms: CKM_DSA CKM_RSA_X_509 CKM_RSA_PKCS ... CKM_SHA256_HMAC_GENERAL CKM_SSL3_MD5_MAC Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL ... CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE Provider: /usr/lib/security/$ISA/pkcs11_tpm.so /usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented. Kernel providers: ========================== des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC, CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC arcfour: CKM_RC4 blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1 sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL sha2: CKM_SHA224,CKM_SHA224_HMAC,...CKM_SHA512_256_HMAC_GENERAL md4: CKM_MD4 md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS,CKM_SHA224_RSA_PKCS, CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS swrand: No mechanisms presented. n2rng/0: No mechanisms presented. ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN, CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN, CKM_ECDH1_DERIVE,CKM_ECDSA n2cp/0: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES3_CBC,...CKM_SSL3_SHA1_MAC
예 12-15 기존 암호화 방식 찾기
다음 예에서 사용자 레벨 라이브러리 pkcs11_softtoken이 제공하는 모든 방식이 나열됩니다.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL CKM_DES_MAC … CKM_ECDSA CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE
예 12-16 사용 가능한 암호화 방식 찾기
정책에 따라 사용 가능한 방식이 결정됩니다. 관리자가 정책을 설정합니다. 관리자는 특정 공급자의 방식을 사용 안함으로 설정하도록 선택할 수 있습니다. -p 옵션은 관리자가 설정한 정책에 의해 허가된 방식 목록을 표시합니다.
% cryptoadm list -p User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.random is enabled. /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, random is enabled. /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled.
Kernel providers: ========================== des: all mechanisms are enabled. aes: all mechanisms are enabled. arcfour: all mechanisms are enabled. blowfish: all mechanisms are enabled. ecc: all mechanisms are enabled. sha1: all mechanisms are enabled. sha2: all mechanisms are enabled. md4: all mechanisms are enabled. md5: all mechanisms are enabled. rsa: all mechanisms are enabled. swrand: random is enabled. n2rng/0: all mechanisms are enabled. random is enabled. ncp/0: all mechanisms are enabled. n2cp/0: all mechanisms are enabled.
예 12-17 어떤 암호화 방식이 어떤 기능을 수행하는지 확인
방식은 서명 또는 키 생성과 같은 특정 암호화 기능을 수행합니다. -v -m 옵션은 모든 방식과 해당 기능을 표시합니다.
이 경우 관리자가 CKM_ECDSA* 방식이 사용될 수 있는 기능이 무엇인지 확인할 수 있습니다.
% cryptoadm list -vm User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Number of slots: 3 Slot #2 Description: ncp/0 Crypto Accel Asym 1.0 ... CKM_ECDSA 163 571 X . . . X . X . . . . . . . ... Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so ... CKM_ECDSA 112 571 . . . . X . X . . . . . . . . CKM_ECDSA_SHA1 112 571 . . . . X . X . . . . . . . . ... Kernel providers: ================= ... ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1 ...
목록에는 다음 사용자 레벨 공급자에서 제공되는 방식이 표시됩니다.
CKM_ECDSA 및 CKM_ECDSA_SHA1 – /usr/lib/security/$ISA/pkcs11_softtoken.so 라이브러리의 소프트웨어 구현
CKM_ECDSA – /usr/lib/security/$ISA/pkcs11_kernel.so 라이브러리의 ncp/0 Crypto Accel Asym 1.0으로 가속화됨
각 항목은 방식에 대한 정보 조각을 나타냅니다. 이러한 ECC 방식에 나타나는 목록은 다음과 같습니다.
최소 길이 – 112바이트
최대 길이 – 571바이트
하드웨어 – 하드웨어에 사용하거나 사용할 수 없습니다.
암호화 – 데이터를 암호화하는 데 사용되지 않습니다.
해독 – 데이터를 해독하는 데 사용되지 않습니다.
다이제스트 – 메시지 다이제스트를 만드는 데 사용되지 않습니다.
서명 – 데이터를 서명하는 데 사용됩니다.
서명 + 복구 – 데이터를 서명으로부터 복구할 수 있는 경우 데이터를 서명하는 데 사용되지 않습니다.
확인 – 서명된 데이터를 확인하는 데 사용됩니다.
확인 + 복구 – 서명으로부터 복구할 수 있는 데이터를 확인하는 데 사용되지 않습니다.
키 생성 – 개인 키를 생성하는 데 사용되지 않습니다.
쌍 생성 – 키 쌍을 생성하는 데 사용되지 않습니다.
래핑 – 래핑하는 데 사용되지 않습니다. 즉, 기존 키를 암호화합니다.
언래핑 – 래핑된 키를 언래핑하는 데 사용되지 않습니다.
파생 – 기본 키로부터 새 키를 파생하는 데 사용되지 않습니다.
EC Caps – 이전 항목에 포함되지 않은 Absent EC 기능
시작하기 전에
Crypto Management 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
% cryptoadm list User-level providers: Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled. Kernel software providers: des aes arcfour blowfish sha1 sha2 md4 md5 rsa swrand n2rng/0 ncp/0 n2cp/0
기존 공급자 소프트웨어는 Oracle에서 인증서를 발행했습니다.
소프트웨어 공급자를 추가한 경우 또는 하드웨어와 지정된 정책을 추가한 경우 공급자를 새로 고쳐야 합니다.
# svcadm refresh svc:/system/cryptosvc
이 경우 새 커널 소프트웨어 공급자가 설치되었습니다.
# cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand sha3 <-- added provider …
예 12-18 사용자 레벨 소프트웨어 공급자 추가
다음 예에서 서명된 PKCS #11 라이브러리가 설치됩니다.
# pkgadd -d /cdrom/cdrom0/SolarisNew Answer the prompts # svcadm refresh system/cryptosvc # cryptoadm list user-level providers: ========================== /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so /opt/lib/$ISA/libpkcs11.so.1 <-- added provider
암호화 프레임워크로 라이브러리를 테스트 중인 개발자가 수동으로 라이브러리를 설치할 수 있습니다.
# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1
기본적으로 FIPS-140 모드는 Oracle Solaris에서 사용 안함으로 설정됩니다. 이 절차에서는 FIPS-140 모드에 대해 새로운 BE(부트 환경)를 만든 후 FIPS-140을 사용으로 설정하고 새 BE로 부트합니다. 이 방식을 사용하면 FIPS-140 준수 테스트로부터 발생할 수 있는 시스템 패닉을 복구할 수 있습니다. 자세한 내용은 cryptoadm(1M) 매뉴얼 페이지 및 암호화 프레임워크 및 FIPS-140을 참조하십시오.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
% cryptoadm list fips-140 User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled. Kernel software providers: ========================== des: FIPS-140 mode is disabled. aes: FIPS-140 mode is disabled. ecc: FIPS-140 mode is disabled. sha1: FIPS-140 mode is disabled. sha2: FIPS-140 mode is disabled. rsa: FIPS-140 mode is disabled. swrand: FIPS-140 mode is disabled. Kernel hardware providers: =========================:
FIPS-140 모드를 사용으로 설정하기 전에 beadm 명령을 사용하여 새 BE를 만들고, 활성화하고, 부트해야 합니다. FIPS-140 지원 시스템은 실패할 경우 패닉을 일으킬 수 있는 준수 테스트를 실행합니다. 따라서 FIPS-140 경계 문제를 디버그할 때 시스템을 작동 및 실행하기 위해 부트할 수 있는 사용 가능한 BE가 있어야 합니다.
이 예에서는 S11.1-FIPS라는 이름의 BE를 만듭니다.
# beadm create S11.1-FIPS-140
# beadm activate S11.1-FIPS-140
# cryptoadm enable fips-140
주 - 이 하위 명령은 사용자 레벨의 pkcs11_softtoken 라이브러리 및 커널 소프트웨어 공급자로부터의 비FIPS-140 승인 알고리즘을 사용 안함으로 설정하지 않습니다. 프레임워크 소비자는 FIPS-140 승인 알고리즘만 사용해야 합니다.
FIPS-140 모드의 영향에 대한 자세한 내용은 cryptoadm(1M) 매뉴얼 페이지를 참조하십시오.
원래 BE로 재부트하거나 현재 BE에서 FIPS-140을 사용 안함으로 설정합니다.
# beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 - - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 NR / 287.01M static 2012-11-18 18:18 # beadm activate S11.1 # beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 R - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 N / 287.01M static 2012-11-18 18:18 # reboot
# cryptoadm disable fips-140
FIPS-140 모드는 시스템이 재부트될 때까지 작동 상태로 유지됩니다.
# reboot
라이브러리 공급자의 암호화 방식 중 일부를 사용하면 안되는 경우 선택한 방식을 제거할 수 있습니다. 이 절차는 예제로 pkcs11_softtoken 라이브러리에서 DES 방식을 사용합니다.
시작하기 전에
Crypto Management 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN, …
$ cryptoadm list -p user-level providers: ===================== … /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled. …
$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
예 12-19 사용자 레벨 소프트웨어 공급자 방식을 사용으로 설정
다음 예에서 사용 안함으로 설정된 DES 방식을 다시 사용할 수 있도록 만듭니다.
$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, … $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled. $ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_ECB $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
예 12-20 모든 사용자 레벨 소프트웨어 공급자 방식을 사용으로 설정
다음 예에서 사용자 레벨 라이브러리의 모든 방식이 사용으로 설정됩니다.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled.
예 12-21 사용자 레벨 소프트웨어 공급자 가용성을 영구적으로 제거
다음 예에서 libpkcs11.so.1 라이브러리가 제거됩니다.
$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1 $ cryptoadm list user-level providers: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so kernel providers: …
암호화 프레임워크가 AES와 같은 여러 모드의 공급자를 제공하는 경우 느리거나 손상된 방식을 사용에서 제할 수 있습니다. 이 절차는 예제로 AES 알고리즘을 사용합니다.
시작하기 전에
Crypto Management 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC, CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB.
예 12-22 커널 소프트웨어 공급자 방식을 사용으로 설정
다음 예에서 사용 안함으로 설정된 AES 방식을 다시 사용할 수 있도록 만듭니다.
cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM, CKM_AES_GCM,CKM_AES_GMAC,CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC $ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. $ cryptoadm enable provider=aes mechanism=CKM_AES_ECB $ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
예 12-23 커널 소프트웨어 공급자 가용성을 일시적으로 제거
다음 예에서 AES 공급자를 일시적으로 사용에서 제합니다. 설치를 제거하는 동안 공급자가 자동으로 로드되지 못하게 하려면 unload 하위 명령이 유용합니다. 예를 들어, unload 하위 명령은 공급자에 영향을 미치는 패치를 설치할 때 사용됩니다.
$ cryptoadm unload provider=aes
$ cryptoadm list … Kernel software providers: des aes (inactive) arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand n2rng/0 ncp/0 n2cp/0
암호화 프레임워크를 새로 고칠 때까지 AES 공급자를 사용할 수 없습니다.
$ svcadm refresh system/cryptosvc
$ cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand n2rng/0 ncp/0 n2cp/0
커널 소비자가 커널 소프트웨어 공급자를 사용 중인 경우 소프트웨어가 언로드되지 않습니다. 오류 메시지가 표시되고 공급자를 계속 사용할 수 있습니다.
예 12-24 소프트웨어 공급자 가용성을 영구적으로 제거
다음 예에서 AES 공급자를 사용에서 제합니다. 일단 제거된 AES 공급자는 커널 소프트웨어 공급자의 정책 목록에 나타나지 않습니다.
$ cryptoadm uninstall provider=aes
$ cryptoadm list … Kernel software providers: des arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand n2rng/0 ncp/0 n2cp/0
커널 소비자가 커널 소프트웨어 공급자를 사용 중인 경우 오류 메시지가 표시되고 공급자를 계속 사용할 수 있습니다.
예 12-25 제거된 커널 소프트웨어 공급자 재설치
다음 예에서 AES 커널 소프트웨어 공급자가 재설치됩니다.
$ cryptoadm install provider=aes \ mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM, CKM_AES_GCM,CKM_AES_GMAC,CKM_AES_CFB128,CKM_AES_XTS,CKM_AES_XCBC_MAC
$ cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand n2rng/0 ncp/0 n2cp/0
하드웨어 공급자는 자동으로 찾아서 로드됩니다. 자세한 내용은 driver.conf(4) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
암호화 프레임워크 내에서 사용하려는 하드웨어가 있을 때 하드웨어가 커널에서 SPI로 등록됩니다. 프레임워크가 하드웨어 드라이버를 서명했는지 확인합니다. 특히, Sun이 발행한 인증서로 드라이버의 객체 파일을 서명했는지 확인합니다.
예를 들어, Sun Crypto Accelerator 6000 보드(mca), UltraSPARC T1 및 T2 프로세서의 암호화 가속기용 ncp 드라이버(ncp), UltraSPARC T2 프로세서의 n2cp 드라이버(n2cp)가 하드웨어 방식을 프레임워크로 플러그인합니다.
공급자 서명 얻기에 대한 내용은 타사 소프트웨어에 대한 이진 서명을 참조하십시오.
% cryptoadm list … kernel hardware providers: ncp/0
% cryptoadm list -m provider=ncp/0 ncp/0: CKM_DSA CKM_RSA_X_509 ... CKM_ECDH1_DERIVE CKM_ECDSA
% cryptoadm list -p provider=ncp/0 ncp/0: all mechanisms are enabled.
하드웨어 공급자에서 방식과 난수 기능을 선택적으로 사용 안함으로 설정할 수 있습니다. 다시 사용으로 설정하려면 예 12-26을 참조하십시오. 이 예제의 하드웨어인 Sun Crypto Accelerator 1000 보드는 난수 생성기를 제공합니다.
시작하기 전에
Crypto Management 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
하드웨어 공급자를 나열합니다.
# cryptoadm list ... Kernel hardware providers: dca/0
# cryptoadm list -m provider=dca/0 dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC random is enabled. # cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is disabled.
예 12-26 하드웨어 공급자에서 방식 및 기능을 사용으로 설정
다음 예에서 하드웨어 조각에 사용 안함으로 설정된 방식이 선택적으로 사용으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB
. random is enabled. # cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB. random is enabled.
다음 예에서 난수 생성기만 사용으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is enabled.
다음 예에서 방식만 사용으로 설정됩니다. 난수 생성기는 계속 사용 안함으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
다음 예에서 보드의 모든 기능 및 방식이 사용으로 설정됩니다.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB. random is disabled. # cryptoadm enable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled.
기본적으로 암호화 프레임워크는 사용으로 설정됩니다. 어떤 이유로 kcfd 데몬을 실패할 때 SMF(서비스 관리 기능)를 사용하여 암호화 서비스를 다시 시작할 수 있습니다. 자세한 내용은 smf(5) 및 svcadm(1M) 매뉴얼 페이지를 참조하십시오. 암호화 서비스 다시 시작이 영역에 미치는 영향은 암호화 서비스 및 영역을 참조하십시오.
시작하기 전에
Crypto Management 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
% svcs cryptosvc STATE STIME FMRI offline Dec_09 svc:/system/cryptosvc:default
# svcadm enable svc:/system/cryptosvc
예 12-27 암호화 서비스 새로 고침
다음 예에서 암호화 서비스를 전역 영역에서 새로 고칩니다. 따라서 모든 비전역 영역의 커널 레벨 암호화 정책도 새로 고쳐집니다.
# svcadm refresh system/cryptosvc