フレームワークには、管理者、ユーザー、およびプロバイダを提供する開発者向けのコマンドが用意されています。
管理コマンド – cryptoadm コマンドは、使用可能なプロバイダとその機能を一覧表示する –list サブコマンドを提供します。通常のユーザーは、cryptoadm list コマンドおよび cryptoadm --help コマンドを実行できます。
それ以外の cryptoadm サブコマンドでは、Crypto Management 権利プロファイルを含む役割になるか、スーパーユーザーになる必要があります。–disable、–install、および –uninstall などのサブコマンドを使用して、暗号化フレームワークを管理できます。詳細は、cryptoadm(1M) のマニュアルページを参照してください。
svcadm コマンドを使用して、kcfd デーモンの管理やカーネルの暗号化ポリシーのリフレッシュを行うことができます。詳細は、svcadm(1M) のマニュアルページを参照してください。
ユーザーレベルコマンド –digest コマンドおよび mac コマンドによって、ファイル整合性サービスが提供されます。encrypt および decrypt コマンドは、ファイルが傍受されるのを防ぎます。これらのコマンドを使用するには、表 2を参照してください。
cryptoadm コマンドは、動作中の暗号化フレームワークを管理します。このコマンドは、Crypto Management 権利プロファイルの一部です。このプロファイルは、暗号化フレームワークのセキュアな管理のための役割に割り当てることができます。cryptoadm コマンドを使用して、次を実行します。
プロバイダメカニズムを無効または有効にする
メタスロットを無効または有効にする
svcadm コマンドは、暗号化サービスデーモン kcfd を有効化、リフレッシュ、および無効化するために使用されます。このコマンドは、Oracle Solaris のサービス管理機能 (SMF) の機能の一部です。svc:/system/cryptosvcs は、暗号化フレームワークのサービスインスタンスです。詳細は、smf(5) および svcadm(1M) のマニュアルページを参照してください。
暗号化フレームワークは、ファイルの整合性の確認、ファイルの暗号化、およびファイルの復号化を行うユーザーレベルコマンドを提供します。
digest コマンド – 1 つまたは複数のファイルまたは標準入力のmessage digestを計算します。ダイジェストは、ファイルの整合性を検証するのに便利です。SHA1 および MD5 は、ダイジェスト機能の例です。
mac コマンド – 1 つまたは複数のファイルまたは標準入力の MAC を計算します。MAC は、データを認証されたメッセージに関連付けます。MAC によって、受信者は、メッセージの送信者、およびメッセージが改ざんされていないことを検証できるようになります。sha1_mac メカニズムおよび md5_hmac メカニズムが MAC を計算します。
encrypt コマンド – 対称暗号でファイルまたは標準入力を暗号化します。encrypt -l コマンドは、使用可能なアルゴリズムを一覧表示します。ユーザーレベルライブラリで一覧表示されるメカニズムは、encrypt コマンドで使用可能です。暗号化フレームワークでは、ユーザーの暗号化のために AES、DES、3DES (Triple-DES)、および ARCFOUR メカニズムが用意されています。
decrypt コマンド – encrypt コマンドで暗号化されたファイルまたは標準入力を復号化します。decrypt コマンドは、元のファイルの暗号化に使用されたのと同一の鍵とメカニズムを使用します。
elfsign コマンド – 暗号化フレームワークでの使用のためにプロバイダに署名する手段を提供します。一般に、このコマンドはプロバイダの開発者によって実行されます。elfsign コマンドには、証明書のリクエスト、バイナリへの署名、およびバイナリ上の署名の検証を行うためのサブコマンドがあります。署名されていないバイナリは、暗号化フレームワークで使用できません。検証可能な署名付きのバイナリを持っているプロバイダは、そのフレームワークを使用できます。
サードパーティーは、暗号化フレームワークに自身のプロバイダを接続できます。サードパーティーのプロバイダとは、次のオブジェクトのいずれかです。
暗号化アルゴリズム、MAC 機能、ダイジェスト機能など、ロード可能なカーネルソフトウェアモジュール
ハードウェアアクセラレータ用のカーネルデバイスドライバ
プロバイダのオブジェクトは、Oracle からの証明書を使用して署名されている必要があります。証明書要求は、サードパーティーが選択する非公開鍵と Oracle が提供する証明書に基づきます。証明書要求は Oracle に送信され、サードパーティーが登録されたあと、証明書が発行されます。次にサードパーティーは Oracle からの証明書を使用してそのプロバイダオブジェクトに署名します。
ロード可能なカーネルソフトウェアモジュールおよびハードウェアアクセラレータ用のカーネルデバイスドライバも、カーネルに登録する必要があります。登録は、暗号化フレームワークの SPI (サービスプロバイダインタフェース) 経由で行います。