암호화 프레임워크 소개
암호화 프레임워크는 암호화 요구 사항을 처리하기 위한 알고리즘 및 PKCS #11 라이브러리의 공통 저장소를 제공합니다. PKCS #11 라이브러리는 RSA Security Inc. PKCS #11 암호화 토큰 인터페이스(Cryptoki) 표준에 따라 구현됩니다.
그림 1-1 암호화 프레임워크 레벨
커널 레벨에서 프레임워크는 현재 ZFS, Kerberos, IPsec 및 하드웨어에 대한 암호화 요구 사항을 처리합니다. 사용자 레벨 소비자에는 OpenSSL 엔진, JCE(Java Cryptographic Extensions), libsasl 및 IKE(Internet Key Protocol)가 포함됩니다. 커널 SSL(kssl) 프록시가 암호화 프레임워크를 사용합니다. 자세한 내용은 Oracle Solaris 11.2의 네트워크 보안 의 SSL 커널 프록시로 웹 서버 통신 암호화 및 ksslcfg(1M) 매뉴얼 페이지를 참조하십시오.
미국 수출법에 따라 개방형 암호화 인터페이스의 사용이 허가되어야 합니다. 암호화 프레임워크는 현행 법규에 맞게 커널 암호화 공급자와 PKCS #11 암호화 공급자의 서명을 요구합니다. 자세한 내용은 암호화 프레임워크의 사용자 레벨 명령에서 elfsign 명령에 대한 내용을 참조하십시오.
-
사용자 레벨 플러그인 – PKCS #11 라이브러리(예: /var/user/$USER/pkcs11_softtoken.so.1)를 사용하여 서비스를 제공하는 공유 객체입니다.
-
커널 레벨 플러그인 – 소프트웨어의 암호화 알고리즘(예: AES)을 구현하는 커널 모듈입니다.
프레임워크에서 대부분의 알고리즘은 x86(SSE2 명령 세트 포함) 및 SPARC 하드웨어에 맞게 최적화되어 있습니다. T-Series 최적화는 암호화 프레임워크 및 SPARC T-Series 서버를 참조하십시오.
-
하드웨어 플러그인 – 장치 드라이버 및 연관된 하드웨어 가속기입니다. 그 예로 Niagara 칩과 Oracle의 ncp 및 n2cp 장치 드라이버가 있습니다. 하드웨어 가속기는 운영 체제에서 값비싼 암호화 작업 부담을 덜어줍니다. Sun Crypto Accelerator 6000 보드를 예로 들 수 있습니다.
프레임워크에서 암호화 서비스 공급자의 서비스를 Oracle Solaris의 많은 소비자가 사용할 수 있습니다. 공급자의 다른 이름은 플러그인입니다. 프레임워크에서는 다음과 같은 세 가지 유형의 플러그인을 지원합니다.
프레임워크는 사용자 레벨 공급자에 대한 표준 인터페이스인 PKCS #11, v2.20 개정판 3 라이브러리를 구현합니다. 타사 응용 프로그램에서 라이브러리를 사용하여 공급자에 연결할 수 있습니다. 또한 서명된 라이브러리, 서명된 커널 알고리즘 모듈, 서명된 장치 드라이버를 프레임워크에 추가할 수 있습니다. 이러한 플러그인은 IPS(이미지 패키징 시스템)를 통해 타사 소프트웨어가 설치될 때 추가됩니다. 프레임워크의 주요 구성 요소에 대한 다이어그램은 Figure 1–1을 참조하십시오.