系统管理指南：安全性服务

如何列出可用提供器

Solaris 加密框架可为多种类型的使用者提供算法：

用户级提供器为与 libpkcs11 库相链接的应用程序提供 PKCS #11 加密接口
内核软件提供器为 IPsec、Kerberos 和其他 Solaris 内核组件提供算法
内核硬件提供器通过 pkcs11_kernel 库提供内核使用者和应用程序可使用的算法

以简要格式列出提供器。

普通用户只能使用用户级机制。

% cryptoadm list

user-level providers:

    /usr/lib/security/$ISA/pkcs11_kernel.so

    /usr/lib/security/$ISA/pkcs11_softtoken.so



kernel software providers:

    des

    aes

    blowfish

    arcfour

    sha1

    md5

    rsa



kernel hardware providers:

    dca/0

列出 Solaris 加密框架中的提供器及其机制。

以下输出列出了所有的机制。但是，所列出的一些机制可能无法使用。要仅列出管理员已批准使用的机制，请参见示例 14–15。

为了便于显示，已重新设置输出格式。

% cryptoadm list -m

user-level providers:

=====================

/usr/lib/security/$ISA/pkcs11_kernel.so: CKM_MD5,CKM_MD5_HMAC,

CKM_MD5_HMAC_GENERAL,CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL,

…

/usr/lib/security/$ISA/pkcs11_softtoken.so: 

CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,

CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,

CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,

…

kernel software providers:

==========================

des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC

aes: CKM_AES_ECB,CKM_AES_CBC

blowfish: CKM_BF_ECB,CKM_BF_CBC

arcfour: CKM_RC4

sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL

md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL

rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS

swrand: No mechanisms presented.



kernel hardware providers:

==========================

dca/0: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL,…

示例 14–14 查找现有的加密机制

在以下示例中，列出了用户级库 pkcs11_softtoken 提供的所有机制。

% cryptoadm list -m provider=/usr/lib/security/'$ISA'/pkcs11_softtoken.so

/usr/lib/security/$ISA/pkcs11_softtoken.so:

CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,

CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,

…

CKM_SSL3_KEY_AND_MAC_DERIVE,CKM_TLS_KEY_AND_MAC_DERIVE

示例 14–15 查找可用的加密机制

策略确定可使用的机制。管理员设置该策略。管理员可以选择禁用特定提供器的机制。-p 选项显示管理员设置的策略允许的机制列表。

% cryptoadm list -p

user-level providers:

=====================

/usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.

random is enabled.

/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.

random is enabled.



kernel software providers:

==========================

des: all mechanisms are enabled.

aes: all mechanisms are enabled.

blowfish: all mechanisms are enabled.

arcfour: all mechanisms are enabled.

sha1: all mechanisms are enabled.

md5: all mechanisms are enabled.

rsa: all mechanisms are enabled.

swrand: random is enabled.



kernel hardware providers:

==========================

dca/0: all mechanisms are enabled. random is enabled.