如果加密框架提供多种模式的提供器(如 AES),则可以删除所使用的速度较慢的机制或损坏的机制。此过程使用 AES 算法为例。
要创建包括加密管理权限配置文件的角色并将该角色指定给用户,请参见示例 9–7。
$ cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC |
列出可用的机制。
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled. |
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB |
列出可用的机制。
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. |
在以下示例中,将使禁用的 AES 机制再次可用。
cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC $ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. $ cryptoadm enable provider=aes mechanism=CKM_AES_ECB $ cryptoadm list -p provider=aes aes: all mechanisms are enabled. |
在以下示例中,将临时删除所使用的 AES 提供器。unload 子命令用于禁止在卸载某提供器时自动装入该提供器。例如,安装影响提供器的修补程序时,将使用 unload 子命令。
$ cryptoadm unload provider=aes $ cryptoadm list ... kernel software providers: des aes (inactive) blowfish arcfour sha1 md5 rsa swrand |
刷新加密框架之前,AES 提供器不可用。
$ svcadm refresh system/cryptosvc $ cryptoadm list ... kernel software providers: des aes blowfish arcfour sha1 md5 rsa swrand |
如果内核使用者正在使用内核软件提供器,则不会卸载该软件。此时将显示错误消息,但可继续使用该提供器。
在以下示例中,将删除所使用的 AES 提供器。一旦删除,该 AES 提供器将不会在内核软件提供器的策略列表中显示。
$ cryptoadm uninstall provider=aes $ cryptoadm list … kernel software providers: des blowfish arcfour sha1 md5 rsa swrand |
如果内核使用者正在使用内核软件提供器,将显示错误消息,但可继续使用该提供器。
$ cryptoadm install provider=aes mechanism=CKM_AES_ECB,CKM_AES_CBC $ cryptoadm list … kernel software providers: des aes blowfish arcfour sha1 md5 rsa swrand |