test

Solaris のシステム管理 (セキュリティサービス)

Procedureカーネルソフトウェアプロバイダが使用されないようにする方法

暗号化フレームワークに AES などのプロバイダの複数のモードが用意されている場合、遅いメカニズムや破壊されたメカニズムの使用を解除する場合があります。この手順では、一例として、AES アルゴリズムを使用します。

  1. スーパーユーザーになるか、Crypto Management 権利プロファイルを含む役割を引き受けます。

    Crypto Management 権利プロファイルを含む役割を作成し、作成した役割をユーザーに割り当てる方法については、例 9–7 を参照してください。

  2. 特定のカーネルソフトウェアプロバイダによって提供されるメカニズムを一覧表示します。


    $ cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC

  3. 使用可能なメカニズムを一覧表示します。


    $ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

  4. 使用すべきでないメカニズムを無効にします。


    $ cryptoadm disable provider=aes mechanism=CKM_AES_ECB

  5. 使用可能なメカニズムを一覧表示します。


    $ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
例 14–21 カーネルソフトウェアプロバイダのメカニズムを有効にする

次の例では、無効になっている AES メカニズムを再び使用可能にします。


cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
$ cryptoadm enable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.
例 14–22 カーネルソフトウェアプロバイダの使用を一時的に削除する

次の例では、AES プロバイダの使用を一時的に削除します。unload サブコマンドは、プロバイダのアンインストール中にプロバイダが自動的に読み込まれないようにするために使用します。たとえば、unload サブコマンドは、プロバイダに影響を与えるパッチをインストールするときに使用します。


$ cryptoadm unload provider=aes


$ cryptoadm list 
…
kernel software providers:
    des
    aes (inactive)
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

AES プロバイダは、暗号化フレームワークが更新されるまでは使用できません。


$ svcadm refresh system/cryptosvc


$ cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

カーネルコンシューマがカーネルソフトウェアプロバイダを使用している場合は、ソフトウェアは読み込み解除されません。エラーメッセージが表示され、プロバイダを使用し続けることができます。

例 14–23 ソフトウェアプロバイダの使用を永続的に解除する

次の例では、AES プロバイダの使用を解除します。いったん削除すると、AES プロバイダはカーネルソフトウェアプロバイダのポリシー一覧に表示されません。


$ cryptoadm uninstall provider=aes


$ cryptoadm list 
…
kernel software providers:
    des
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

カーネルコンシューマがカーネルソフトウェアプロバイダを使用している場合は、エラーメッセージが表示され、プロバイダを使用し続けることができます。

例 14–24 削除されたカーネルソフトウェアプロバイダを再インストールする

次の例では、AES カーネルソフトウェアプロバイダを再インストールします。


$ cryptoadm install provider=aes mechanism=CKM_AES_ECB,CKM_AES_CBC


$ cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand