如何禁止使用内核软件提供器
如果加密框架提供多种模式的提供器(如 AES),则可以删除所使用的速度较慢的机制或损坏的机制。此过程使用 AES 算法为例。
-
要创建包括加密管理权限配置文件的角色并将该角色指定给用户,请参见示例 9–7。
-
$ cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC
-
列出可用的机制。
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
-
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
-
列出可用的机制。
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB.
示例 14–20 启用内核软件提供器机制
在以下示例中,将使禁用的 AES 机制再次可用。
cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC $ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. $ cryptoadm enable provider=aes mechanism=CKM_AES_ECB $ cryptoadm list -p provider=aes aes: all mechanisms are enabled. |
示例 14–21 临时删除内核软件提供器可用性
在以下示例中,将临时删除所使用的 AES 提供器。unload 子命令用于禁止在卸载某提供器时自动装入该提供器。例如,安装影响提供器的修补程序时,将使用 unload 子命令。
$ cryptoadm unload provider=aes
$ cryptoadm list
...
kernel software providers:
des
aes (inactive)
blowfish
arcfour
sha1
md5
rsa
swrand
|
刷新加密框架之前,AES 提供器不可用。
$ svcadm refresh system/cryptosvc
$ cryptoadm list
...
kernel software providers:
des
aes
blowfish
arcfour
sha1
md5
rsa
swrand
|
如果内核使用者正在使用内核软件提供器,则不会卸载该软件。此时将显示错误消息,但可继续使用该提供器。
示例 14–22 永久删除软件提供器可用性
在以下示例中,将删除所使用的 AES 提供器。一旦删除,该 AES 提供器将不会在内核软件提供器的策略列表中显示。
$ cryptoadm uninstall provider=aes
$ cryptoadm list
…
kernel software providers:
des
blowfish
arcfour
sha1
md5
rsa
swrand
|
如果内核使用者正在使用内核软件提供器,将显示错误消息,但可继续使用该提供器。
示例 14–23 重新安装已删除的内核软件提供器
$ cryptoadm install provider=aes mechanism=CKM_AES_ECB,CKM_AES_CBC
$ cryptoadm list
…
kernel software providers:
des
aes
blowfish
arcfour
sha1
md5
rsa
swrand
|
- © 2010, Oracle Corporation and/or its affiliates