第 1 章 SunScreen SKIP 的公开问题和最新消息

SunScreen SKIP 的公开问题和最新消息包含一些在 SunScreen SKIP 即将发行时才出现的信息。本文档是“SunScreen SKIP 用户指南，版本 1.1”的配套产品。它编入了 SunScreen SKIP, 版本 1.1.1 的信息。

警告

要意识到保存核心文件中包含您的本地秘密。别人应该是难以看到或发现此文件的，可实际上它还是可能泄露! 因此，您应该象保护您的其它本地秘密那样小心保护核心文件。记住，如果您把核心文件送给外人去分析，则不啻于把您的本地秘密交给分析者。

当此核心文件存在时进行的任何系统备份都可能包含此核心文件，因此这也必须被视为发现你的本地秘密的一种可能途径。

所有常规系统备份也将包含存储有您的本地秘密的文件。这些备份必须保存在安全的地方。

要从 SunScreen SKIP, 版本 1.1 升级到 SunScreen SKIP, 版本 1.1.1，请遵照“SunScreen SKIP 用户指南”第一章"安装 SunScreen SKIP，从 SKIP for Solaris 的早期版本升级。"

要保留以前的配置（访问控制列表 [ACL] 文件）、证书和密钥管理器配置文件，请不要去除 /etc/opt/SUNWicg/skip 目录。

您可以继续使用旧标识，无论是 UDH 还是 CA，只要您没有将它们去除。

SunScreen SKIP, 版本 1.1.1 包含一个增强的随机号码发生器，从而大大提高了安全性。

“SunScreen SKIP for Solaris 用户指南”不包含下列错误信息。

N-计数器超出范围——要么重发了包，要么超出同步时钟

SKIP 已收到"旧"包。通常，这表明是发送包的机器时钟与您的机器时钟不同步，在罕见情况下是中介在重放侵袭中发送了旧包。

证书 g+p 与 dh_params 不匹配

您的访问控制列表中的某个条目的本地标识和远程标识没有匹配的 Diffie-Hellman 参数（g 是生成器值，p 是原始值）。典型的原因是您试图与一个模不匹配的系统通讯（即 1024 位的系统试图使用 1024 位密钥与 512 位的系统通讯）。

本地秘密 nsid=xx mkid=xx 已过期。正在删除

您的本地秘密已过期。生成一个新的本地标识。

无法加载 skipsup.o —— 正在退出！

SKIP 支持模块无法加载。通常，这意味着在试图运行 SKIP 的机器上缺少必须的库之一。请确认您的系统含有按照“SunScreen SKIP 用户指南”中的指导安装的必要的软件包。

模太大，违反美国出口法

您试图加载一个美国出口法不允许的密钥。请确认基本 SKIP 软件包和任何 SKIP 加密升级软件包都已安装，且您购买的这些软件包符合适当的美国出口许可控制。

skipd: passphrase 要求发布 skipd_restart 以启用加密

密钥管理器没有口令无法启动以破译本地秘密。请使用 skip_restart 命令来启动密钥管理器。

SunScreen SKIP 限制为最多 100 个本地密钥。超过前 100 个的其它本地密钥都将无声无息地失效。

如果当您配置 SKIP 时系统挂起，但您仍可访问机器并成为根 (root)，请输入
```
	# skiphost -o off -i <network_interface>
```
这样将在网络接口上禁用 SKIP
然后，您就可以用根 (root) 的身份按您的安全策略规定的那样重新配置访问控制列表。