Administration de la structure cryptographique (tâches)

Cette section explique l'administration des fournisseurs de logiciels et des fournisseurs de matériel dans la structure cryptographique. L'utilisation de ces fournisseurs peut être empêchée lorsque cela est souhaitable. Par exemple, vous pouvez désactiver l'implémentation d'un algorithme d'un seul fournisseur de logiciels. Ensuite, vous pouvez forcer le système à utiliser l'algorithme d'un autre fournisseur de logiciels.

Liste des fournisseurs disponibles

La structure cryptographique Oracle Solaris fournit des algorithmes pour plusieurs types de consommateurs :

Les fournisseurs au niveau de l'utilisateur offrent une interface de chiffrement PKCS #11 aux applications liées à la bibliothèque libpkcs11.
Les fournisseurs de logiciels noyau offrent des algorithmes pour IPsec, Kerberos et d'autres composants de noyau Oracle Solaris
Les fournisseurs de matériel noyau offrent des algorithmes disponibles pour les consommateurs de noyau et les applications via la bibliothèque pkcs11_kernel.

Répertoriez les fournisseurs dans un format c
Remarque - Le contenu et le format de la liste de fournisseurs varient selon les versions d'Oracle Solaris. Exécutez la commande cryptoadm list sur votre système pour afficher les fournisseurs que votre système prend en charge.

Seuls les mécanismes au niveau de l'utilisateur sont disponibles pour les utilisateurs standard.
```
% cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so

kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa

kernel hardware providers:
    ncp/0
```

Répertoriez les fournisseurs et leurs mécanismes dans la structure cryptographique.

Tous les mécanismes sont répertoriés dans la sortie suivante. Cependant, certains de ces mécanismes peuvent ne pas être disponibles pour l'utilisation. Pour répertorier uniquement les mécanismes approuvés pour l'utilisation par l'administrateur, reportez-vous à l'Exemple 14-16.

La sortie est reformatée à des fins d'affichage.

% cryptoadm list -m
user-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_kernel.so: CKM_MD5,CKM_MD5_HMAC,
CKM_MD5_HMAC_GENERAL,CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL,
…
/usr/lib/security/$ISA/pkcs11_softtoken.so: 
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
…
kernel software providers:
==========================
des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC
aes: CKM_AES_ECB,CKM_AES_CBC
blowfish: CKM_BF_ECB,CKM_BF_CBC
arcfour: CKM_RC4
sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL
md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL
rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS
swrand: No mechanisms presented.

kernel hardware providers:
==========================
ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
CKM_ECDH1_DERIVE,CKM_ECDSA

Exemple 14-15 Recherche de mécanismes cryptographiques existants

Dans l'exemple suivant, tous les mécanismes offerts par la bibliothèque au niveau de l'utilisateur, pkcs11_softtoken, sont répertoriés.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
CKM_SSL3_KEY_AND_MAC_DERIVE,CKM_TLS_KEY_AND_MAC_DERIVE

Exemple 14-16 Recherche de mécanismes cryptographiques disponibles

La stratégie détermine les mécanismes utilisables. L'administrateur définit la stratégie. Un administrateur peut choisir de désactiver des mécanismes à partir d'un fournisseur particulier. L'option -p affiche la liste des mécanismes autorisés par la stratégie définie par l'administrateur.

% cryptoadm list -p
user-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.
random is enabled.
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

kernel software providers:
==========================
des: all mechanisms are enabled.
aes: all mechanisms are enabled.
blowfish: all mechanisms are enabled.
arcfour: all mechanisms are enabled.
sha1: all mechanisms are enabled.
md5: all mechanisms are enabled.
rsa: all mechanisms are enabled.
swrand: random is enabled.

kernel hardware providers:
==========================
ncp/0: all mechanisms are enabled.

Ajout d'un fournisseur de logiciels

Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

Répertoriez les fournisseurs de logiciels disponibles sur le système.

% cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so

kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa

kernel hardware providers:
    ncp/0

Ajoutez le package d'un fournisseur en utilisant la commande pkgadd.
```
# pkgadd -d /path/to/package pkginst
```
Le package doit inclure un logiciel signé par un certificat de Sun. Pour demander un certificat auprès de Sun et signer un fournisseur, reportez-vous à l'Annexe F, Packaging and Signing Cryptographic Providers du Developer’s Guide to Oracle Solaris Security.
Le package doit avoir des scripts qui avertissent la structure cryptographique qu'un autre fournisseur doté d'un jeu de mécanismes est disponible. Pour plus d'informations sur les conditions d'empaquetage requises, reportez-vous à l'Annexe F, Packaging and Signing Cryptographic Providers du Developer’s Guide to Oracle Solaris Security.
Actualisez les fournisseurs.
Vous devez actualiser les fournisseurs si vous avez ajouté un fournisseur de logiciels ou si vous avez ajouté un matériel et spécifié une stratégie pour ce matériel.
```
# svcadm refresh svc:/system/cryptosvc
```

Localisez le nouveau fournisseur dans la liste.

Dans ce cas, un nouveau fournisseur de logiciels noyau a été installé.

# cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand
    ecc <-- added provider
…

Exemple 14-17 Ajout d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, une bibliothèque PKCS 11 signée est installée.

# pkgadd -d /cdrom/cdrom0/SolarisNew
Answer the prompts
# svcadm refresh system/cryptosvc
# cryptoadm list
user-level providers:
==========================
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /opt/SUNWconn/lib/$ISA/libpkcs11.so.1 <-- added provider

Les développeurs qui testent une bibliothèque avec la structure cryptographique peuvent installer la bibliothèque manuellement.

# cryptoadm install provider=/opt/SUNWconn/lib/\$ISA/libpkcs11.so.1

Pour plus d'informations sur l'obtention de la signature pour votre fournisseur, reportez-vous à la section Signatures binaires pour les logiciels tiers.

Interdiction d'utilisation d'un mécanisme au niveau de l'utilisateur

Si certains des mécanismes cryptographiques provenant d'un fournisseur de bibliothèques ne doivent pas être utilisés, vous pouvez supprimer les mécanismes sélectionnés. Cette procédure utilise les mécanismes DES de la bibliothèque pkcs11_softtoken comme un exemple.

Connectez-vous en tant que superutilisateur ou endossez un rôle incluant le profil de droits de gestion de la cryptographie.
Pour créer un rôle incluant le profil de droits de gestion de la cryptographie et l'assigner à un utilisateur, reportez-vous à l'Exemple 9-7.

Répertoriez les mécanismes offerts par un fournisseur de logiciels particulier au niveau de l'utilisateur.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
…

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p
user-level providers:
=====================
…
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.
…

Désactivez les mécanismes qui ne doivent pas être utilisés.

$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Exemple 14-18 Activation d'un mécanisme d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, un mécanisme DES désactivé est de nouveau rendu disponible pour l'utilisation.

$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Exemple 14-19 Activation de tous les mécanismes d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, tous les mécanismes de la bibliothèque au niveau de l'utilisateur sont activés.

$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

Exemple 14-20 Suppression définitive de la disponibilité d'un fournisseur de logiciels au niveau de l'utilisateur

Dans l'exemple suivant, la bibliothèque libpkcs11.so.1 est supprimée.

$ cryptoadm uninstall provider=/opt/SUNWconn/lib/\$ISA/libpkcs11.so.1
$ cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so

kernel software providers:
…

Interdiction de l'utilisation d'un fournisseur de logiciels noyau

Si la structure cryptographique fournit plusieurs modes d'un fournisseur tel que AES, vous pouvez supprimer un mécanisme lent ou corrompu. Cette procédure utilise l'algorithme AES comme exemple.

Connectez-vous en tant que superutilisateur ou endossez un rôle incluant le profil de droits de gestion de la cryptographie.
Pour créer un rôle incluant le profil de droits de gestion de la cryptographie et l'assigner à un utilisateur, reportez-vous à l'Exemple 9-7.
Répertoriez les mécanismes qui sont offerts par un fournisseur de logiciels noyau particulier.
```
$ cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC
```

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Désactivez le mécanisme qui ne doit pas être utilisé.
```
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
```

Répertoriez les mécanismes disponibles pour l'utilisation.

$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.

Exemple 14-21 Activation d'un mécanisme d'un fournisseur de logiciels noyau

Dans l'exemple suivant, un mécanisme AES désactivé est de nouveau rendu disponible pour l'utilisation.

cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
$ cryptoadm enable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Exemple 14-22 Suppression temporaire de la disponibilité d'un fournisseur de logiciels noyau

Dans l'exemple suivant, l'utilisation du fournisseur AES est temporairement rendue impossible. La sous-commande unload est utile pour empêcher le chargement automatique d'un fournisseur pendant que le fournisseur est en cours de désinstallation. Par exemple, la sous-commande unload peut être utilisée lors de l'installation d'un patch qui affecte le fournisseur.

$ cryptoadm unload provider=aes

$ cryptoadm list 
…
kernel software providers:
    des
    aes (inactive)
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Le fournisseur AES reste indisponible jusqu'à l'actualisation de la structure cryptographique.

$ svcadm refresh system/cryptosvc

$ cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Si un consommateur de noyau utilise le fournisseur de logiciels noyau, le logiciel n'est pas déchargé. Un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.

Exemple 14-23 Suppression définitive de la disponibilité du fournisseur de logiciels

Dans l'exemple suivant, l'utilisation du fournisseur AES est définitivement rendue impossible. Une fois supprimé, le fournisseur AES n'apparaît plus dans la liste des stratégies des fournisseurs de logiciels noyau.

$ cryptoadm uninstall provider=aes

$ cryptoadm list 
…
kernel software providers:
    des
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Si un consommateur de noyau utilise ce fournisseur de logiciels noyau, un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.

Exemple 14-24 Réinstallation d'un fournisseur de logiciels noyau supprimé

Dans l'exemple suivant, le fournisseur de logiciels noyau AES est réinstallé.

$ cryptoadm install provider=aes mechanism=CKM_AES_ECB,CKM_AES_CBC

$ cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Liste des fournisseurs de matériel

Les fournisseurs de matériel sont automatiquement détectés et chargés. Pour plus d'informations, reportez-vous à la page de manuel driver.conf(4).

Avant de commencer

Lorsque du matériel doit être utilisé au sein de la structure cryptographique Oracle Solaris, le matériel s'enregistre sur la SPI dans le noyau. La structure vérifie que le pilote matériel est signé. Plus précisément, la structure vérifie que le fichier d'objet du pilote est signé au moyen d'un certificat émis par Sun.

Par exemple, la carte Sun Crypto Accelerator 6000 (mca), le pilote NCP pour l'accélérateur cryptographique sur les processeurs UltraSPARC T1 et T2 (ncp) et le pilote N2CP pour les processeurs UltraSPARC T2 (n2cp) connectent les mécanismes matériels à la structure.

Pour plus d'informations sur l'obtention de la signature pour votre fournisseur, reportez-vous à la section Signatures binaires pour les logiciels tiers.

Répertoriez les fournisseurs de matériel disponibles sur le système.
```
% cryptoadm list
… 
kernel hardware providers:
   ncp/0
```

Répertoriez les mécanismes fournis par la puce ou la carte.

% cryptoadm list -m provider=ncp/0
ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
CKM_ECDH1_DERIVE,CKM_ECDSA

Répertoriez les mécanismes disponibles pour l'utilisation sur la puce ou la carte.
```
% cryptoadm list -p provider=ncp/0
ncp/0: all mechanisms are enabled.
```

Désactivation des mécanismes et fonctions d'un fournisseur de matériel

Vous pouvez désactiver de façon sélective des mécanismes et la fonction de nombres aléatoires à partir d'un fournisseur de matériel. Pour les réactiver, reportez-vous à l'Exemple 14-25. Le matériel de cet exemple, la carte Sun Crypto Accelerator 1000, fournit un générateur de nombres aléatoires.

Connectez-vous en tant que superutilisateur ou prenez un rôle incluant le profil de gestion de la cryptographie.
Pour créer un rôle incluant le profil de droits de gestion de la cryptographie et l'assigner à un utilisateur, reportez-vous à l'Exemple 9-7.

Choisissez les mécanismes ou la fonction à désactiver.

Répertoriez le fournisseur de matériel.

# cryptoadm list
...
Kernel hardware providers:
    dca/0

Désactivez les mécanismes sélectionnés.

# cryptoadm list -m provider=dca/0
dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC
random is enabled.
# cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC.
random is enabled.

Désactivez le générateur de nombres aléatoires.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Désactivez tous les mécanismes. Ne désactivez pas le générateur de nombres aléatoires.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is enabled.

Désactivez toutes les fonctions et tous les mécanismes sur le matériel.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.
# cryptoadm disable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are disabled. random is disabled.

Exemple 14-25 Activation des mécanismes et fonctions sur un fournisseur de matériel

Dans les exemples suivants, les mécanismes désactivés sur un élément matériel sont activés individuellement.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB

.
random is enabled.
# cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB. 
random is enabled.

Dans l'exemple ci-dessous, seul le générateur aléatoire est activé.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. 
random is disabled.
# cryptoadm enable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is enabled.

Dans l'exemple ci-dessous, seuls les mécanismes sont activés. Le générateur aléatoire reste désactivé.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is disabled.
# cryptoadm enable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Dans l'exemple suivant, toutes les fonctions et tous les mécanismes de la carte sont activés.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB.
random is disabled.
# cryptoadm enable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.

Actualisation ou redémarrage de tous les services cryptographiques

Par défaut, la structure cryptographique Oracle Solaris est activée. Lorsque le démon kcfd échoue pour une raison quelconque, l'utilitaire de gestion des services peut être utilisé pour redémarrer les services cryptographiques. Pour plus d'informations, reportez-vous aux pages de manuel smf(5) et svcadm(1M). Pour connaître l'effet du redémarrage des services cryptographiques sur les zones, reportez-vous à la section Services cryptographiques et zones.

Vérifiez l'état des services cryptographiques.

% svcs cryptosvc
 STATE          STIME    FMRI
offline         Dec_09   svc:/system/cryptosvc:default

Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent pour activer les services cryptographiques.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuration de RBAC (liste des tâches).
```
# svcadm enable svc:/system/cryptosvc
```

Exemple 14-26 Actualisation des services cryptographiques

Dans l'exemple suivant, les services cryptographiques sont actualisés dans la zone globale. Par conséquent, la stratégie de cryptographie au niveau du noyau dans chaque zone non globale est également actualisée.

# svcadm refresh system/cryptosvc

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration système : Services de sécurité