ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
このリリースでの暗号化フレームワークおよび SPARC T シリーズサーバー
22. Kerberos エラーメッセージとトラブルシューティング
暗号化フレームワークには、管理者、ユーザー、およびプロバイダを提供する開発者向けのコマンドが用意されています。
管理コマンド – cryptoadm コマンドは、使用可能なプロバイダとその機能を一覧表示する list サブコマンドを提供します。通常のユーザーは、cryptoadm list コマンドおよび cryptoadm --help コマンドを実行できます。
それ以外の cryptoadm サブコマンドでは、Crypto Management 権利プロファイルを含む役割になるか、スーパーユーザーになる必要があります。disable、install、および uninstall などのサブコマンドを使用して、暗号化フレームワークを管理できます。詳細は、cryptoadm(1M) のマニュアルページを参照してください。
svcadm コマンドを使用して、kcfd デーモンの管理やカーネルの暗号化ポリシーのリフレッシュを行うことができます。詳細は、svcadm(1M) のマニュアルページを参照してください。
ユーザーレベルコマンド –digest コマンドおよび mac コマンドによって、ファイル整合性サービスが提供されます。encrypt および decrypt コマンドは、ファイルが傍受されるのを防ぎます。これらのコマンドを使用する場合は、「暗号化フレームワークによるファイルの保護 (タスクマップ)」を参照してください。
cryptoadm コマンドは、動作中の暗号化フレームワークを管理します。このコマンドは、Crypto Management 権利プロファイルの一部です。このプロファイルは、暗号化フレームワークのセキュアな管理のための役割に割り当てることができます。cryptoadm コマンドは、次の内容を管理します。
暗号化プロバイダ情報の表示
プロバイダメカニズムの無効化または有効化
メタスロットの無効化または有効化
svcadm コマンドは、暗号化サービスデーモン kcfd を有効化、リフレッシュ、および無効化するために使用されます。このコマンドは、Oracle Solaris のサービス管理機能 (SMF) の機能の一部です。svc:/system/cryptosvcs は、暗号化フレームワークのサービスインスタンスです。詳細は、smf(5) および svcadm(1M) のマニュアルページを参照してください。
暗号化フレームワークは、ファイルの整合性の確認、ファイルの暗号化、およびファイルの復号化を行うユーザーレベルコマンドを提供します。独立したコマンド elfsign によって、フレームワークでの使用のためにプロバイダがバイナリに署名することができます。
digest コマンド – 1 つまたは複数のファイルまたは標準入力のメッセージダイジェストを計算します。ダイジェストは、ファイルの整合性を検証するのに便利です。SHA1 および MD5 は、ダイジェスト機能の例です。
mac コマンド – 1 つまたは複数のファイルまたは標準入力のメッセージ認証コード (MAC) を計算します。MAC は、データを認証されたメッセージに関連付けます。MAC によって、受信者は、メッセージの送信者、およびメッセージが改ざんされていないことを検証できるようになります。sha1_mac メカニズムおよび md5_hmac メカニズムが MAC を計算します。
encrypt コマンド – 対称暗号でファイルまたは stdin を暗号化します。encrypt -l コマンドは、使用可能なアルゴリズムを一覧表示します。ユーザーレベルライブラリで一覧表示されるメカニズムは、encrypt コマンドで使用可能です。暗号化フレームワークでは、ユーザーの暗号化のために AES、DES、3DES (Triple-DES)、および ARCFOUR メカニズムが用意されています。
decrypt コマンド – encrypt コマンドで暗号化されたファイルまたは stdin を復号化します。decrypt コマンドは、元のファイルの暗号化に使用されたのと同一の鍵とメカニズムを使用します。
elfsign コマンドは、暗号化フレームワークでの使用のためにプロバイダに署名する手段を提供します。一般に、このコマンドはプロバイダの開発者によって実行されます。
elfsign コマンドには、証明書のリクエスト、バイナリへの署名、およびバイナリ上の署名の検証を行うためのサブコマンドがあります。署名されていないバイナリは、暗号化フレームワークで使用できません。検証可能な署名付きのバイナリを持っているプロバイダは、そのフレームワークを使用できます。
サードパーティーは、暗号化フレームワークに自身のプロバイダを接続できます。サードパーティーのプロバイダとは、次のオブジェクトのいずれかです。
プロバイダのオブジェクトは、Oracle からの証明書を使用して署名されている必要があります。証明書要求は、サードパーティーが選択する非公開鍵と Oracle が提供する証明書に基づきます。証明書要求は Oracle に送信され、サードパーティーが登録されたあと、証明書が発行されます。次にサードパーティーは Oracle からの証明書を使用してそのプロバイダオブジェクトに署名します。
ロード可能なカーネルソフトウェアモジュールおよびハードウェアアクセラレータ用のカーネルデバイスドライバも、カーネルに登録する必要があります。登録は、暗号化フレームワークの SPI (サービスプロバイダインタフェース) 経由で行います。