Schützen von Dateien mit Cryptographic Framework (Aufgaben)

Dieser Abschnitt enthält Beschreibungen zum Generieren symmetrischer Schlüssel, zum Erstellen von Prüfsummen für die Dateiintegrität und zum Schützen von Dateien vor dem Abhören. Die in diesem Abschnitt aufgeführten Befehle können von gewöhnlichen Benutzern ausgeführt werden. Entwickler können Skripten schreiben, die diese Befehle verwenden.

So generieren Sie einen symmetrischen Schlüssel mit dem Befehl `dd`

Zum Verschlüsseln von Dateien und zum Generieren des MAC einer Datei ist ein Schlüssel erforderlich. Der Schlüssel sollte aus einem Zufallspool von Zahlen abgeleitet werden.

Falls Ihr Standort über einen Generator für Zufallszahlen verfügt, verwenden Sie diesen. Andernfalls können Sie den Befehl dd mit dem Oracle Solaris-Gerät /dev/urandom als Eingabe verwenden. Weitere Informationen erhalten Sie auf der Manpage dd(1M).

Bestimmen Sie die für Ihren Algorithmus erforderliche Schlüssellänge.

Listen Sie die verfügbaren Algorithmen auf.

% encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      192   192

% mac -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
des_mac                    64    64
sha1_hmac                   8   512
md5_hmac                    8   512
sha256_hmac                 8   512
sha384_hmac                 8  1024
sha512_hmac                 8  1024

Bestimmen Sie die Schlüssellänge in Byte für die Weiterleitung an den Befehl dd.
Teilen Sie die minimale und die maximale Schlüsselgröße durch 8. Wenn sich die minimale und die maximale Schlüsselgröße unterscheiden, können dazwischen liegende Schlüsselgrößen verwendet werden. Beispielsweise kann der Wert 8, 16 oder 64 an den Befehl dd für die Funktionen sha1_hmac und md5_hmac weitergeleitet werden.

Generieren Sie den symmetrischen Schlüssel.
```
% dd if=/dev/urandom of=keyfile bs=n count=n
```
if=file

Entspricht der Eingabedatei. Verwenden Sie für einen zufallsverteilten Schlüssel die Datei /dev/urandom.

of=keyfile

Entspricht der Ausgabedatei mit dem generierten Schlüssel.

bs=n

Entspricht der Schlüsselgröße in Byte. Teilen Sie für die Länge in Byte die in Bit angegebene Schlüsselgröße durch 8.

count=n

Entspricht dem Zähler der Eingabeblöcke. Die Zahl für n sollte 1 lauten.
Speichern Sie Ihren Schlüssel in einem geschützten Verzeichnis.
Die Schlüsseldatei sollte ausschließlich vom Benutzer gelesen werden können.
```
% chmod 400 keyfile
```

Beispiel 14-1 Erstellen eines Schlüssels für den AES-Algorithmus

Im folgenden Beispiel wird ein Geheimschlüssel für den AES-Algorithmus erstellt. Der Schlüssel wird auch für die spätere Entschlüsselung gespeichert. AES-Mechanismen verwenden einen 128-Bit-Schlüssel. Der Schlüssel wird im Befehl dd als 16-Byte-Schlüssel ausgedrückt.

% ls -al ~/keyf
drwx------   2 jdoe  staff        512 May 3 11:32 ./
% dd if=/dev/urandom of=$HOME/keyf/05.07.aes16 bs=16 count=1
% chmod 400 ~/keyf/05.07.aes16

Beispiel 14-2 Erstellen eines Schlüssels für den DES-Algorithmus

Im folgenden Beispiel wird ein Geheimschlüssel für den DES-Algorithmus erstellt. Der Schlüssel wird auch für die spätere Entschlüsselung gespeichert. DES-Mechanismen verwenden einen 64-Bit-Schlüssel. Der Schlüssel wird im Befehl dd als 8-Byte-Schlüssel ausgedrückt.

% dd if=/dev/urandom of=$HOME/keyf/05.07.des8 bs=8 count=1
% chmod 400 ~/keyf/05.07.des8

Beispiel 14-3 Erstellen eines Schlüssels für den 3DES-Algorithmus

Im folgenden Beispiel wird ein Geheimschlüssel für den 3DES-Algorithmus erstellt. Der Schlüssel wird auch für die spätere Entschlüsselung gespeichert. 3DES-Mechanismen verwenden einen 192-Bit-Schlüssel. Der Schlüssel wird im Befehl dd als 24-Byte-Schlüssel ausgedrückt.

% dd if=/dev/urandom of=$HOME/keyf/05.07.3des.24 bs=24 count=1
% chmod 400 ~/keyf/05.07.3des.24

Beispiel 14-4 Erstellen eines Schlüssels für den MD5-Algorithmus

Im folgenden Beispiel wird ein Geheimschlüssel für den MD5-Algorithmus erstellt. Der Schlüssel wird auch für die spätere Entschlüsselung gespeichert. Der Schlüssel wird im Befehldd als 64-Byte-Schlüssel ausgedrückt.

% dd if=/dev/urandom of=$HOME/keyf/05.07.mack64 bs=64 count=1
% chmod 400 ~/keyf/05.07.mack64

So generieren Sie einen symmetrischen Schlüssel mit dem Befehl `pktool`

Einige Anwendungen erfordern einen symmetrischen Schlüssel für die Verschlüsselung und Entschlüsselung von Kommunikation. In diesem Verfahren erstellen und speichern Sie einen symmetrischen Schlüssel.

Falls Ihr Standort über einen Generator für Zufallszahlen verfügt, können Sie mithilfe dieses Generators eine Zufallszahl für den Schlüssel erstellen. Im vorliegenden Verfahren wird kein Generator für Zufallszahlen verwendet.
Stattdessen können Sie auch den Befehl dd mit dem Oracle Solaris-Gerät /dev/urandom als Eingabe verwenden. Der Befehl dd speichert den Schlüssel nicht. Informationen zu diesem Verfahren finden Sie unter So generieren Sie einen symmetrischen Schlüssel mit dem Befehl dd.

(Optional) Wenn Sie einen Schlüsselspeicher verwenden möchten, erstellen Sie diesen.
- Informationen zum Erstellen und Initialisieren eines PKCS #11-Schlüsselspeichers finden Sie unter So generieren Sie einen Passwortsatz mit dem Befehl pktool setpin.
- In Beispiel 15-5 wird die Erstellung und Initialisierung einer NSS-Datenbank dargestellt.
Generieren Sie eine Zufallszahl für die Verwendung als symmetrischer Schlüssel.
Verwenden Sie eine der folgenden Methoden:
- Generieren Sie einen Schlüssel und speichern Sie ihn in einer Datei.
  Der Vorteil eines in einer Datei gespeicherten Schlüssels liegt darin, dass Sie den Schlüssel aus dieser Datei extrahieren können, um ihn in der Schlüsseldatei einer Anwendung wie z. B. der Datei /etc/inet/secret/ipseckeys oder IPsec zu verwenden.
```
% pktool genkey keystore=file outkey=key-fn \ 
[keytype=specific-symmetric-algorithm] [keylen=size-in-bits] \
[dir=directory] [print=n]
```
  keystore
  
  Der Wert file gibt den Dateityp des Speicherorts für den Schlüssel an.
  
  outkey=key-fn
  
  Dies ist der Dateiname, wenn keystore=file
  
  keytype=specific-symmetric-algorithm
  
  Geben Sie aes, arcfour, des oder 3des für einen bestimmten Algorithmus an.
  
  keylen=size-in-bits
  
  Dies ist die Länge des Schlüssels in Bit. Die Zahl muss durch 8 teilbar sein. Dieser Wert darf nicht für des oder 3des angegeben werden.
  
  dir=directory
  
  Hierbei handelt es sich um den Verzeichnispfad zu key-fn. Standardmäßig ist directory das aktuelle Verzeichnis.
  
  print=n
  
  Druckt den Schlüssel zu dem Terminalfenster. Der Standardwert von print ist n.
- Generieren Sie einen Schlüssel und speichern Sie ihn in einem PKCS #11-Schlüsselspeicher.
  Der Vorteil des PKCS #11-Schlüsselspeichers besteht darin, dass Sie den Schlüssel anhand seiner Beschriftung abrufen können. Diese Methode eignet sich für Schlüssel zum Verschlüsseln und Entschlüsseln von Dateien. Bevor Sie diese Methode verwenden, müssen Sie Schritt 1 abschließen.
```
% pktool genkey label=key-label \ 
[keytype=specific-symmetric-algorithm] [keylen=size-in-bits] \
[token=token] [sensitive=n] [extractable=y] [print=n]
```
  label=key-label
  
  Eine benutzerdefinierte Beschriftung für den Schlüssel. Der Schlüssel kann anhand seiner Beschriftung aus dem Schlüsselspeicher abgerufen werden.
  
  keytype=specific-symmetric-algorithm
  
  Geben Sie aes, arcfour, des oder 3des für einen bestimmten Algorithmus an.
  
  keylen=size-in-bits
  
  Dies ist die Länge des Schlüssels in Bit. Die Zahl muss durch 8 teilbar sein. Dieser Wert darf nicht für des oder 3des angegeben werden.
  
  token=token
  
  Dies ist der Token-Name. Standardmäßig lautet das Token Sun Software PKCS#11 softtoken.
  
  sensitive=n
  
  Gibt die Sensitivität des Schlüssels an. Wenn der Wert y ist, kann der Schlüssel nicht mit dem Argument print=y gedruckt werden. Der Standardwert von sensitive ist n.
  
  extractable=y
  
  Gibt an, dass der Schlüssel aus dem Schlüsselspeicher extrahiert werden kann. Geben Sie n an, um zu verhindern, dass der Schlüssel extrahiert wird.
  
  print=n
  
  Druckt den Schlüssel zu dem Terminalfenster. Der Standardwert von print ist n.
- Generieren Sie einen Schlüssel und speichern Sie ihn in einem NSS-Schlüsselspeicher.
  Bevor Sie diese Methode verwenden, müssen Sie Schritt 1 abschließen.
```
% pktool keystore=nss genkey label=key-label \ 
[keytype=[keytype=specific-symmetric-algorithm] [keylen=size-in-bits] [token=token] \
[dir=directory-path] [prefix=database-prefix]
```
  keystore
  
  Der Wert nss gibt den NSS-Typ des Speicherorts für den Schlüssel an.
  
  label=key-label
  
  Eine benutzerdefinierte Beschriftung für den Schlüssel. Der Schlüssel kann anhand seiner Beschriftung aus dem Schlüsselspeicher abgerufen werden.
  
  keytype=specific-symmetric-algorithm
  
  Geben Sie aes, arcfour, des oder 3des für einen bestimmten Algorithmus an.
  
  keylen=size-in-bits
  
  Dies ist die Länge des Schlüssels in Bit. Die Zahl muss durch 8 teilbar sein. Dieser Wert darf nicht für des oder 3des angegeben werden.
  
  token=token
  
  Dies ist der Token-Name. Standard-Token ist das interne NSS-Token.
  
  dir=directory
  
  Hierbei handelt es sich um den Verzeichnispfad zur NSS-Datenbank. Standardmäßig ist directory das aktuelle Verzeichnis.
  
  prefix=directory
  
  Dies ist das Präfix für die NSS-Datenbank. Standardmäßig ist kein Präfix angegeben.
  
  print=n
  
  Druckt den Schlüssel zu dem Terminalfenster. Der Standardwert von print ist n.
(Optional) Überprüfen Sie, ob der Schlüssel vorhanden ist.
Verwenden Sie je nach Speicherort des Schlüssels einen der folgenden Befehle.
- Überprüfen Sie den Schlüssel in der Datei key-fn.
```
% pktool list keystore=file objtype=key infile=key-fn
Found n keys.
Key #1 - keytype:location (keylen)
```
- Überprüfen Sie den Schlüssel im PKCS #11- oder NSS-Schlüsselspeicher.
```
$ pktool list objtype=key
Enter PIN for keystore:
Found n keys.
Key #1 - keytype:location (keylen)
```

Beispiel 14-5 Erstellen eines DES-Schlüssels mit dem Befehl pktool

Im folgenden Beispiel wird ein Geheimschlüssel für den DES-Algorithmus erstellt. Der Schlüssel wird für die spätere Entschlüsselung in einer lokalen Datei gespeichert. Der Befehl schützt die Datei mit den Berechtigungen 400. Wenn die Datei erstellt wird, zeigt die Option print=y den generierten Schlüssel im Terminalfenster an.

DES-Mechanismen verwenden einen 64-Bit-Schlüssel. Der Benutzer, der über die Schlüsseldatei verfügt, ruft den Schlüssel mit dem Befehl od ab.

% pktool genkey keystore=file outkey=64bit.file1 keytype=des print=y
        Key Value ="a3237b2c0a8ff9b3"
% od -x 64bit.file1
0000000 a323 7b2c 0a8f f9b3

So berechnen Sie den Digest einer Datei

Beim Berechnen des Digest einer Datei können Sie überprüfen, ob die Datei manipuliert wurde, indem Sie Digest-Ausgaben miteinander vergleichen. Ein Digest ändert die Originaldatei nicht.

Listen Sie die verfügbaren Digest-Algorithmen auf.
```
% digest -l
md5
sha1
sha256
sha384
sha512
```
Berechnen Sie das Digest der Datei und speichern Sie die Digest-Liste.
Geben Sie einen Algorithmus mit dem Befehl digest an.
```
% digest -v -a algorithm input-file > digest-listing
```
-v
Zeigt die Ausgabe in folgendem Format an:
```
algorithm (input-file) = digest
```
-a algorithm

Dies ist der Algorithmus für die Berechnung eines Digest der Datei. Geben Sie den Algorithmus so ein, wie er in der Ausgabe in Schritt 1 angezeigt wird.

input-file

Dies ist die Eingabedatei für den Befehl digest.

digest-listing

Dies ist die Ausgabedatei für den Befehl digest.

Beispiel 14-6 Berechnen eines Digest mit dem MD5-Mechanismus

Im folgenden Beispiel berechnet der Befehl digest unter Verwendung des MD5-Mechanismus ein Digest für einen E-Mail-Anhang.

% digest -v -a md5 email.attach >> $HOME/digest.emails.05.07
% cat ~/digest.emails.05.07
md5 (email.attach) = 85c0a53d1a5cc71ea34d9ee7b1b28b01

Wenn die Option -v nicht verwendet wird, wird das Digest ohne begleitende Informationen gespeichert:

% digest -a md5 email.attach >> $HOME/digest.emails.05.07
% cat ~/digest.emails.05.07
85c0a53d1a5cc71ea34d9ee7b1b28b01

Beispiel 14-7 Berechnen eines Digest mit dem SHA1-Mechanismus

Im folgenden Beispiel stellt der Befehl digest unter Verwendung des SHA1-Mechanismus eine Verzeichnisliste bereit. Die Ergebnisse werden in einer Datei gespeichert.

% digest -v -a sha1 docs/* > $HOME/digest.docs.legal.05.07
% more ~/digest.docs.legal.05.07
sha1 (docs/legal1) = 1df50e8ad219e34f0b911e097b7b588e31f9b435
sha1 (docs/legal2) = 68efa5a636291bde8f33e046eb33508c94842c38
sha1 (docs/legal3) = 085d991238d61bd0cfa2946c183be8e32cccf6c9
sha1 (docs/legal4) = f3085eae7e2c8d008816564fdf28027d10e1d983

So berechnen Sie den MAC einer Datei

Ein MAC (Message Authentication Code) berechnet ein Digest für die Datei und verwendet einen Geheimschlüssel für den weiteren Schutz des Digest. Ein MAC ändert die Originaldatei nicht.

Listen Sie die verfügbaren Mechanismen auf.

% mac -l
Algorithm       Keysize:  Min   Max
-----------------------------------
des_mac                    64    64
sha1_hmac                   8   512
md5_hmac                    8   512
sha256_hmac                 8   512
sha384_hmac                 8  1024
sha512_hmac                 8  1024

Generieren Sie einen symmetrischen Schlüssel in der entsprechenden Länge.
Es sind folgende zwei Möglichkeiten verfügbar. Sie können einen Passwortsatz angeben, aus dem ein Schlüssel generiert wird. Alternativ können Sie auch einen Schlüssel angeben.
- Wenn Sie einen Passwortsatz (Kennsatz) angeben, müssen Sie diesen speichern oder sich merken. Wenn Sie den Passwortsatz online speichern, sollte die Passwortsatzdatei nur von Ihnen gelesen werden können.
- Wenn Sie einen Schlüssel angeben, muss dieser die richtige Größe für den Mechanismus aufweisen. Informationen zu diesem Verfahren finden Sie unter So generieren Sie einen symmetrischen Schlüssel mit dem Befehl dd.
Erstellen Sie einen MAC für eine Datei.
Geben Sie einen Schlüssel an und verwenden Sie einen symmetrischen Schlüsselalgorithmus mit dem Befehl mac.
```
% mac -v -a algorithm [ -k keyfile ] input-file
```
-v
Zeigt die Ausgabe in folgendem Format an:
```
algorithm (input-file) = mac
```
-a algorithm

Dies ist der Algorithmus für die Berechnung des MAC. Geben Sie den Algorithmus so ein, wie er in der Ausgabe des Befehls mac -l angezeigt wird.

-k keyfile

Dies ist die Datei, die einen Schlüssel mit algorithmusspezifischer Länge enthält.

input-file

Hierbei handelt es sich um die Eingabedatei für den MAC.

Beispiel 14-8 Berechnen eines MAC mit DES_MAC und einem Passwortsatz

Im folgenden Beispiel wird der E-Mail-Anhang mit dem DES_MAC-Mechanismus und einem aus einem Passwortsatz abgeleiteten Schlüssel authentifiziert. Die MAC-Liste wird in einer Datei gespeichert. Wenn der Passwortsatz in einer Datei gespeichert wird, sollte die Datei ausschließlich vom Benutzer gelesen werden können.

% mac -v -a des_mac email.attach
Enter passphrase: <Type passphrase>
des_mac (email.attach) = dd27870a
% echo "des_mac (email.attach) = dd27870a" >> ~/desmac.daily.05.07

Beispiel 14-9 Berechnen eines MAC mit MD5_HMAC und einer Schlüsseldatei

Im folgenden Beispiel wird der E-Mail-Anhang mit dem MD5_HMAC-Mechanismus und einem Geheimschlüssel authentifiziert. Die MAC-Liste wird in einer Datei gespeichert.

% mac -v -a md5_hmac -k $HOME/keyf/05.07.mack64 email.attach
md5_hmac (email.attach) = 02df6eb6c123ff25d78877eb1d55710c
% echo "md5_hmac (email.attach) = 02df6eb6c123ff25d78877eb1d55710c" \
>> ~/mac.daily.05.07

Beispiel 14-10 Berechnen eines MAC mit SHA1_HMAC und einer Schlüsseldatei

Im folgenden Beispiel wird das Verzeichnismanifest mit dem SHA1_HMAC-Mechanismus und einem Geheimschlüssel authentifiziert. Die Ergebnisse werden in einer Datei gespeichert.

% mac -v -a sha1_hmac \
-k $HOME/keyf/05.07.mack64 docs/* > $HOME/mac.docs.legal.05.07
% more ~/mac.docs.legal.05.07
sha1_hmac (docs/legal1) = 9b31536d3b3c0c6b25d653418db8e765e17fe07a
sha1_hmac (docs/legal2) = 865af61a3002f8a457462a428cdb1a88c1b51ff5
sha1_hmac (docs/legal3) = 076c944cb2528536c9aebd3b9fbe367e07b61dc7
sha1_hmac (docs/legal4) = 7aede27602ef6e4454748cbd3821e0152e45beb4

So entschlüsseln und verschlüsseln Sie eine Datei

Beim Verschlüsseln einer Datei wird die Originaldatei nicht entfernt oder geändert. Die Ausgabedatei wird verschlüsselt.

Lösungen zu häufigen Fehlern in Bezug auf den Befehl encrypt finden Sie im Abschnitt nach den Beispielen.

Erstellen Sie einen symmetrischen Schlüssel in der entsprechenden Länge.
Es stehen zwei Möglichkeiten zur Verfügung. Sie können einen Passwortsatz angeben, aus dem ein Schlüssel generiert wird. Alternativ können Sie auch einen Schlüssel angeben.
- Wenn Sie einen Passwortsatz angeben, müssen Sie diesen speichern oder sich merken. Wenn Sie den Passwortsatz online speichern, sollte die Passwortsatzdatei nur von Ihnen gelesen werden können.
- Wenn Sie einen Schlüssel angeben, muss dieser die richtige Größe für den Mechanismus aufweisen. Informationen zu diesem Verfahren finden Sie unter So generieren Sie einen symmetrischen Schlüssel mit dem Befehl dd.
Verschlüsseln Sie eine Datei.
Geben Sie einen Schlüssel an und verwenden Sie einen symmetrischen Schlüsselalgorithmus mit dem Befehl encrypt.
```
% encrypt -a algorithm  [ -k keyfile ] -i input-file -o output-file
```
-a algorithm

Dies ist der Algorithmus für die Verschlüsselung des MAC. Geben Sie den Algorithmus so ein, wie er in der Ausgabe des Befehls encrypt -l angezeigt wird.

-k keyfile

Dies ist die Datei, die einen Schlüssel mit algorithmusspezifischer Länge enthält. Die Schlüssellänge für jeden Algorithmus (in Bit) wird in der Ausgabe des Befehls encrypt -l aufgeführt.

-i input-file

Dies ist die Eingabedatei, die Sie verschlüsseln möchten. Diese Datei wird durch den Befehl nicht geändert.

-o output-file

Dies ist die Ausgabedatei, bei der es sich um die verschlüsselte Form der Eingabedatei handelt.

Beispiel 14-11 Verschlüsseln und Entschlüsseln mit AES und einem Passwortsatz

Im folgenden Beispiel wird eine Datei mit dem AES-Algorithmus verschlüsselt. Der Schlüssel wird aus dem Passwortsatz generiert. Wenn der Passwortsatz in einer Datei gespeichert wird, sollte die Datei ausschließlich vom Benutzer gelesen werden können.

% encrypt -a aes -i ticket.to.ride -o ~/enc/e.ticket.to.ride
Enter passphrase: <Type passphrase>
Re-enter passphrase: Type passphrase again

Die Eingabedatei (ticket.to.ride) ist weiterhin in ihrer ursprünglichen Form vorhanden.

Zum Entschlüsseln der Ausgabedatei verwendet der Benutzer denselben Passwortsatz und Verschlüsselungsmechanismus wie für die Verschlüsselung der Datei.

% decrypt -a aes -i ~/enc/e.ticket.to.ride -o ~/d.ticket.to.ride
Enter passphrase: <Type passphrase>

Beispiel 14-12 Verschlüsseln und Entschlüsseln mit AES und einer Schlüsseldatei

Im folgenden Beispiel wird eine Datei mit dem AES-Algorithmus verschlüsselt. AES-Mechanismen verwenden einen Schlüssel von 128 Bit bzw. 16 Byte.

% encrypt -a aes -k ~/keyf/05.07.aes16 \
-i ticket.to.ride -o ~/enc/e.ticket.to.ride

Die Eingabedatei (ticket.to.ride) ist weiterhin in ihrer ursprünglichen Form vorhanden.

Zum Entschlüsseln der Ausgabedatei verwendet der Benutzer denselben Schlüssel und Verschlüsselungsmechanismus wie für die Verschlüsselung der Datei.

% decrypt -a aes -k ~/keyf/05.07.aes16 \
-i ~/enc/e.ticket.to.ride -o ~/d.ticket.to.ride

Beispiel 14-13 Verschlüsseln und Entschlüsseln mit ARCFOUR und einer Schlüsseldatei

Im folgenden Beispiel wird eine Datei mit dem ARCFOUR-Algorithmus verschlüsselt. Der ARCFOUR-Algorithmus akzeptiert einen Schlüssel von 8 Bit (1 Byte), 64 Bit (8 Byte) oder 128 Bit (16 Byte).

% encrypt -a arcfour -i personal.txt \
-k ~/keyf/05.07.rc4.8 -o ~/enc/e.personal.txt

Zum Entschlüsseln der Ausgabedatei verwendet der Benutzer denselben Schlüssel und Verschlüsselungsmechanismus wie für die Verschlüsselung der Datei.

% decrypt -a arcfour -i ~/enc/e.personal.txt \
-k ~/keyf/05.07.rc4.8 -o ~/personal.txt

Beispiel 14-14 Verschlüsseln und Entschlüsseln mit 3DES und einer Schlüsseldatei

Im folgenden Beispiel wird eine Datei mit dem 3DES-Algorithmus verschlüsselt. Der 3DES-Algorithmus erfordert einen Schlüssel von 192 Bit bzw. 24 Byte.

% encrypt -a 3des -k ~/keyf/05.07.des24 \
-i ~/personal2.txt -o ~/enc/e.personal2.txt

Zum Entschlüsseln der Ausgabedatei verwendet der Benutzer denselben Schlüssel und Verschlüsselungsmechanismus wie für die Verschlüsselung der Datei.

% decrypt -a 3des -k ~/keyf/05.07.des24 \
-i ~/enc/e.personal2.txt -o ~/personal2.txt

Allgemeine Fehler

Die folgenden Meldungen geben an, dass der von Ihnen für den Befehl encrypt angegebene Schlüssel nicht von dem verwendeten Algorithmus zugelassen wird.

encrypt: unable to create key for crypto operation: CKR_ATTRIBUTE_VALUE_INVALID
encrypt: failed to initialize crypto operation: CKR_KEY_SIZE_RANGE

Wenn Sie einen Schlüssel weiterleiten, der nicht den Anforderungen des Algorithmus entspricht, müssen Sie einen besser geeigneten Schlüssel angeben.

Dazu können Sie beispielweise einen Passwortsatz angeben. Das Framework stellt dann einen Schlüssel bereit, der den Anforderungen entspricht.
Die zweite Option besteht darin, bei der Weiterleitung eine Schlüsselgröße zu verwenden, die der Algorithmus akzeptiert. So erfordert der DES-Algorithmus beispielsweise einen Schlüssel von 64 Bit. Für den 3DES-Algorithmus ist dagegen ein Schlüssel von 192 Bit erforderlich.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices