第 1章 SunScreen SKIP 注意事項與最新資訊

這份 SunScreen SKIP 注意事項與最新資訊文件提供了一些未及納入 SunScreen SKIP 發行文件中的重要資訊。本文件可以視為是 SunScreen SKIP 使用手冊，版次 1.1 的補充說明。本文件已收納了 SunScreen SKIP，版次 1.1.1 的相關資訊。

關於資訊安全的叮嚀

有件事值得您特別注意，就是您所儲存的核心檔中含有本端區域的特殊設定值。雖然一般人無法識別和判讀核心檔的內容，但這並不意味著核心檔是絕對無法破解的！因此，請您務必謹慎小心地保護您機器上所有的本端區域特殊設定值。請記住，一旦您將您的核心檔送出去進行分析時，您事實上是把本端機器上的特殊設定值通通交給了某此 分析人員。

所有的系統備份資料中，同樣也包含了一個核心檔。所以系統備份資料也應被視為是可能洩漏本端區域特殊設定值的一個途徑。

常態性的系統備份同時也會對儲存本端區域特殊定值的檔案進行備份。所以請將這些備份資料存放在安全的地方。

如何從 SunScreen SKIP, 版次 1.1 昇級到 SunScreen SKIP, 版次 1.1.1

要從 SunScreen SKIP, 版次 1.1 昇級到 SunScreen SKIP, 版次 1.1.1，請依照 SunScreen SKIP 使用手冊，第一章 "安裝 SunScreen SKIP"，"從舊版的 Solaris SKIP 進行昇級安裝"。

如果您想要保留先前的配置設定值（像存取控列表 [ACL] 檔）、認證資料、以及主要管理配置檔，則請 不要刪除 /etc/opt/SUNWicg/skip 目錄。

只要您沒有刪除舊的識別資料，則不論原來是 UDH 或 CA 之類的識別方式，您都可以繼續使用下去。

安全性的改良

SunScreen SKIP, 版次 1.1.1 新加入了一個改良型的亂數產生器，大大提昇了安全性的保障。

錯誤訊息

SunScreen SKIP for Solaris User' Guide一書中，並未包含以下的錯誤訊息。

N-counter out of range - either replayed packets or out of sync clocks

"Old"packets have been received by SKIP. This indicates either that, typically, the sending machine's clock is not in synchronization with your machine's clock or that, rarely, an intermediary is sending old packets in a replay attack.

Certificate g+p do not match dh_params

An entry in your access control list has a local identity and remote identity that do not have matching Diffie-Hellman parameters (g is the generator value, p is the prime value). This is typically caused when you try to talk to a system with moduli that do not match (, a 1024-bit system trying to talk to a 512-bit system using 1024-bit keys).

Local secret nsid=xx mkid=xx has expired. Deleting

Your local secret has expired. Generate a new local identity.

Unable to load skipsup.o -- Exiting!

The SKIP support module could not be loaded. Typically, this means that one of the necessary libraries is not available on the machine that is attempting to run SKIP. Ensure that your system has the required software packages installed according to the instructions in the SunScreen SKIP User's Guide.

Modulus too big for U.S. export law

You have attempted to load a key that is not permitted under U.S. export law. Make sure that you have installed both the base SKIP package and any SKIP encryption upgrade packages that you have purchased under appropriate U.S. export license control.

skipd: passphrase required
issue skipd_restart to enable encryption

The key manager cannot start without a password to decrypt local secrets. Use the command skip_restart to start the key manager.

有限的區域鍵數目

SunScreen SKIP 區域鍵的最大上限值為 100。凡是超過 100 的區域鍵，程式將不予處理且不作反應。

如何進行緊急啟動

系統懸置且無法存取機器內的任何資料時。

1. 當您正在配置 SKIP，發生系統懸置且導致您再也無法存取機器內的資料時，請重新啟動您的機器於單用戶模態下，並以 root 身份簽入。

2. 使用像 vi 之類的文字編輯程式來編輯 /etc/opt/SUNWicg/skip/ 目錄下的 acl.<network_interface> 檔。修改以下各行中的敘述

   	skiphost -i <network_interface> -o on 

   成為

   	skiphost -i <network_interface> -o off 

   將 SKIP 的功能予以取消。

3. 以正常方式重新開機，以清除檔案系統。

4. 然後，您再以 root 身份簽入，重新配置存取控制列表作為您的安全作業指定命令。

系統懸置，但您仍然可以轉變為 root 身份

1. 當您正在配置 SKIP，卻發生了系統懸置的情況，而您仍然可以存取機器內的資料且能轉變為 root 身份時，請輸入以下的指令：

   	# skiphost -o off -i <network_interface>

   如此，就可以取消網路介面上的 SKIP 功能。

2. 接下來，您再以 root 的身份來重新配置存取控制列表作為您的安全作業指定命令。