暗号化フレームワークの管理

言語:

このセクションでは、暗号化フレームワークでのソフトウェアプロバイダとハードウェアプロバイダの管理方法について説明します。たとえば、あるソフトウェアプロバイダのアルゴリズムの実装を無効にできます。その後、別のソフトウェアプロバイダのアルゴリズムがシステムで使用されるようにすることができます。

注意 - Oracle Solaris オペレーティングシステムに付属のデフォルトのプロバイダを無効にしないでください。特に、pkcs11_softtoken プロバイダは Oracle Solaris の必要な部分であるため、 cryptoadm (1M) コマンドを使用して無効にしてはいけません。暗号化アルゴリズムの中には、ハードウェアで高速化されるものがあります。管理者は、次のコマンドを実行して、システム用の暗号化アルゴリズムのリストを表示して、出力の HW 列を確認できます。

 # cryptoadm list -vm provider='/usr/lib/security/$ISA/pkcs11_softtoken.so'

詳細は、pkcs11_softtoken(5) のマニュアルページを参照してください。

注 - 暗号化フレームワークの管理の重要なコンポーネントは、暗号化モジュールのための米国政府のコンピュータセキュリティー標準である FIPS 140-2 に関連したポリシーの計画および実装です。

FIPS 140-2 で検証された暗号化のみを使用するという厳格な要件がある場合は、Oracle Solaris 11.3 SRU 5.6 リリースを実行する必要があります。Oracle は、これらの 2 つの特定のリリースでの Solaris 暗号化フレームワークに対する FIPS 140-2 の検証を完了しました。以降のリリースは、この検証された基盤の上に構築されており、パフォーマンス、機能、および信頼性に対応するソフトウェアの機能強化を含んでいます。これらの機能強化を利用するために、可能な場合は常に、以降のリリースを FIPS 140-2 モードで構成するようにしてください。

Oracle Solaris 11.3 での FIPS 140-2 対応システムの使用を確認し、システムの全体的な FIPS 140-2 ポリシーを計画してください。

次のタスクマップは、暗号化フレームワークでのソフトウェアプロバイダとハードウェアプロバイダの管理の手順を示しています。

表 3 暗号化フレームワークの管理のタスクマップ

タスク	説明	参照先
システムの FIPS 140-2 ポリシーを計画します。	FIPS 140-2 承認のプロバイダおよびコンシューマを有効にするための計画を決定し、その計画を実装します。	Oracle Solaris 11.3 での FIPS 140-2 対応システムの使用
暗号化フレームワークのプロバイダを一覧表示します。	暗号化フレームワークで使用可能なアルゴリズム、ライブラリ、およびハードウェアデバイスを一覧表示します。	使用可能なプロバイダの一覧表示
FIPS 140-2 モードを有効にします。	暗号化モジュールのための米国政府の標準に従って暗号化フレームワークを実行します。	FIPS 140-2 が有効になったブート環境を作成する方法
ソフトウェアプロバイダを追加します。	PKCS #11 ライブラリまたはカーネルモジュールを暗号化フレームワークに追加します。プロバイダは署名されている必要があります。	ソフトウェアプロバイダを追加する方法
ユーザーレベルのメカニズムが使用されないようにします.	ソフトウェアメカニズムの使用を解除します。ソフトウェアメカニズムは、再度有効にすることができます。	ユーザーレベルのメカニズムが使用されないようにする方法
カーネルモジュールのメカニズムを一時的に無効にします。	一時的にメカニズムの使用を解除します。通常はテストのために使用します。	カーネルソフトウェアメカニズムが使用されないようにする方法
ライブラリをアンインストールします。	ユーザーレベルソフトウェアプロバイダの使用を解除します。	使用例 17
カーネルプロバイダをアンインストールします。	カーネルソフトウェアプロバイダの使用を解除します。	使用例 19
ハードウェアプロバイダのメカニズムを無効にします。	ハードウェアアクセラレータ上の選択したメカニズムが使用されないようにします。	ハードウェアプロバイダのメカニズムと機能を無効にする方法
暗号化サービスを再起動またはリフレッシュします。	暗号化サービスを使用できるようにします。	すべての暗号化サービスをリフレッシュまたは再起動する方法