Gestion du chiffrement et des certificats dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Concepts propres à la structure cryptographique

Notez les descriptions des concepts suivants et les exemples correspondants qui sont utiles dans le cadre de l'utilisation de la structure cryptographique.

  • Algorithmes : les algorithmes cryptographiques sont des procédures de calcul récursives établies qui chiffrent ou hachent une entrée. Les algorithmes de chiffrement peuvent être symétriques ou asymétriques. Les algorithmes symétriques utilisent la même clé pour le chiffrement et le déchiffrement. Les algorithmes asymétriques, qui sont utilisés dans la cryptographie par clé publique, nécessitent deux clés. Les fonctions de hachage sont également des algorithmes.

      Quelques exemples d'algorithmes :

    • Algorithmes symétriques, comme AES et ECC

    • Algorithmes asymétriques, comme Diffie-Hellman et RSA

    • Fonctions de hachage, comme SHA256

  • Consommateurs : utilisateurs des services cryptographiques provenant de fournisseurs. Les consommateurs peuvent être des applications, des utilisateurs finaux ou des opérations de noyau.

      Quelques exemples de consommateurs :

    • Applications, comme IKE

    • Utilisateurs finaux, comme un utilisateur standard exécutant la commande encrypt

    • Opérations de noyau, comme IPsec

  • Keystore : dans la structure cryptographique, stockage permanent pour les objets-jetons, souvent utilisé de manière interchangeable avec un jeton. Pour plus d'informations sur un keystore réservé, reportez-vous à Metaslot dans cette liste de définitions.

  • Mécanisme : application d'un mode d'algorithme pour un objectif particulier.

    Par exemple, un mécanisme DES appliqué à l'authentification, tel que CKM_DES_MAC, est un mécanisme distinct d'un mécanisme DES appliqué au chiffrement, CKM_DES_CBC_PAD.

  • Metaslot : connecteur individuel réunissant les capacités d'autres connecteurs chargés dans la structure. Le metaslot facilite le travail de gestion de toutes les capacités des fournisseurs disponibles par le biais de la structure. Lorsqu'une application utilisant le metaslot demande une opération, le metaslot détermine quel connecteur réel doit effectuer l'opération. Les capacités du metaslot sont configurables, mais la configuration n'est pas nécessaire. Le metaslot est activé par défaut. Pour plus d'informations, reportez-vous à la page de manuel cryptoadm(1M).

    Le metaslot ne dispose pas de son propre keystore. Au lieu de cela, il réserve l'utilisation d'un keystore de l'un des emplacements actuels dans la structure cryptographique. Par défaut, le metaslot réserve le keystore Sun Crypto Softtoken. Le keystore utilisé par le metaslot n'est pas indiqué comme l'un des emplacements disponibles.

    Les utilisateurs peuvent spécifier un autre keystore pour metaslot en définissant les variables d'environnement ${METASLOT_OBJECTSTORE_SLOT} et ${METASLOT_OBJECTSTORE_TOKEN} ou en exécutant la commande cryptoadm. Pour plus d'informations, reportez-vous aux pages de manuel libpkcs11(3LIB), pkcs11_softtoken(5) et cryptoadm(1M).

  • Mode : version d'un algorithme cryptographique. Par exemple, CBC (Cipher block Chaining, enchaînement des blocs de chiffrement) est un autre mode d'ECB (Electronic Code Book, bloc de contrôle d'événement). L'algorithme AES possède deux modes : CKM_AES_ECB et CKM_AES_CBC.

  • Stratégie : choix effectué par un administrateur de rendre des mécanismes disponibles pour l'utilisation. Par défaut, tous les fournisseurs et tous les mécanismes sont disponibles pour l'utilisation. L'activation ou la désactivation de tout mécanisme serait une application de la stratégie. Pour consulter des exemples de configuration et d'application de stratégies, reportez-vous à Administration de la structure cryptographique.

  • Fournisseurs : services cryptographiques utilisés par les consommateurs. Etant donné que les fournisseurs se connectent à la structure, ils sont également qualifiés de plug-ins.

      Quelques exemples de fournisseurs :

    • Bibliothèques PKCS #11, telles que /var/user/$USER/pkcs11_softtoken.so

    • Modules d'algorithmes cryptographiques, comme aes et arcfour

    • Pilotes de périphériques et leurs accélérateurs matériels associés, comme le pilote mca pour la carte Sun Crypto Accelerator 6000

  • Connecteur : interface vers un ou plusieurs périphériques cryptographiques. Chaque emplacement, qui correspond à un lecteur physique ou à une autre interface de périphérique, peut contenir un jeton. Un jeton fournit une vue logique d'un périphérique cryptographique dans la structure.

  • Jeton : dans un connecteur, un jeton fournit une vue logique d'un périphérique cryptographique dans la structure.