Oracle® Solaris 11.2 での暗号化と証明書の管理

印刷ビューの終了

 
更新: 2014 年 9 月
 
 

暗号化フレームワークの概念

次の概念の説明および対応する例は、暗号化フレームワークでの作業時に役立ちます。

  • アルゴリズム – 暗号化アルゴリズムは、入力を暗号化またはハッシュする確立された再帰的な計算手続きです。暗号化アルゴリズムには対称と非対称があります。対称アルゴリズムでは、暗号化と復号化に同じ鍵が使用されます。非対称アルゴリズムは、公開鍵暗号化で使用され、2 つの鍵を必要とします。ハッシングもアルゴリズムです。

      アルゴリズムの例として、次のものがあります。

    • AES や ECC などの対称アルゴリズム

    • Diffie-Hellman や RSA などの非対称アルゴリズム

    • SHA256 などのハッシング機能

  • コンシューマ – プロバイダから提供される暗号化サービスのユーザー。コンシューマになりえるものとして、アプリケーション、エンドユーザー、カーネル処理などが挙げられます。

      コンシューマの例として、次のものがあります。

    • IKE などのアプリケーション

    • encrypt コマンドを実行する通常のユーザーなどのエンドユーザー

    • IPsec などのカーネル操作

  • キーストア – 暗号化フレームワークでは、トークンオブジェクトのための永続的なストレージであり、多くの場合はトークンと同じ意味で使用されます。予約されたキーストアについては、この定義のリストにあるメタスロットを参照してください。

  • メカニズム – 特定の目的でアルゴリズムのモードを応用したもの。

    たとえば、認証に適用される DES メカニズム (CKM_DES_MAC など) は、暗号化に適用されるメカニズム (CKM_DES_CBC_PAD) とは別です。

  • メタスロット – フレームワークにロードされているほかのスロットの機能を統合した単一のスロット。メタスロットは、フレームワークを通じて利用可能なプロバイダのすべての機能を取り扱う際の作業を軽減します。メタスロットを使用するアプリケーションから処理リクエストを受けると、実際のスロットのうちどのスロットがその処理を行うのかをメタスロットが決定します。メタスロットの機能は構成可能ですが、構成が必須ではありません。メタスロットはデフォルトでは有効になっています。詳細は、cryptoadm(1M) のマニュアルページを参照してください。

    メタスロットには、独自のキーストアはありません。代わりに、メタスロットは、暗号化フレームワーク内の実際のスロットのいずれかからキーストアの使用を予約します。デフォルトでは、メタスロットは Sun Crypto Softtoken キーストアを予約します。メタスロットによって使用されているキーストアは、使用可能なスロットの 1 つとしては示されません。

    ユーザーは、環境変数 ${METASLOT_OBJECTSTORE_SLOT} および ${METASLOT_OBJECTSTORE_TOKEN} を設定するか、または cryptoadm コマンドを実行することによって、メタスロットのための代わりのキーストアを指定できます。詳細は、libpkcs11(3LIB)pkcs11_softtoken (5)、および cryptoadm(1M) の各マニュアルページを参照してください。

  • モード – 暗号化アルゴリズムのバージョン。たとえば、CBC (Cipher Block Chaining) は、ECB (Electronic Code Book) とは別のモードです。AES アルゴリズムには、CKM_AES_ECB と CKM_AES_CBC の 2 つのモードがあります。

  • ポリシー – どのメカニズムを使用できるようにするかについての管理者による選択。デフォルトでは、すべてのプロバイダとすべてのメカニズムが使用可能です。メカニズムを有効または無効にすることは、ポリシーの適用です。ポリシーの設定および適用の例については、暗号化フレームワークの管理を参照してください。

  • プロバイダ – コンシューマが使用する暗号化サービス。プロバイダは、フレームワークに組み込まれる(プラグインする)ので、プラグインとも呼ばれます。

      プロバイダの例として、次のものがあります。

    • /var/user/$USER/pkcs11_softtoken.so などの PKCS #11 ライブラリ

    • aesarcfour などの暗号化アルゴリズムのモジュール

    • Sun Crypto Accelerator 6000 の mca ドライバなど、デバイスドライバおよび関連するハードウェアアクセラレータ

  • スロット – 1 つまたは複数の暗号化デバイスとのインタフェース。各スロットは物理的なリーダー (読み取り器) またはその他のデバイスインタフェースに相当し、スロットにはトークンが 1 つ搭載されていることがあります。トークンは、フレームワーク内の暗号化デバイスを論理的に表示します。

  • トークン – スロット内で、トークンはフレームワーク内の暗号化デバイスの論理表示を提供します。

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ