鍵データを作成および取得するために OKM と対話するさまざまなタイプの暗号化エージェントを作成できます。StorageTek T10000 モデル A と B、T9840D、および HP LTO Gen 4 と Gen 5 の各テープドライブは、暗号化機能に対して使用可能にすると、暗号エージェントのタイプになります。
自律ロック解除が有効になっているときは、ロックされている KMA をロック解除するには、定足数のセキュリティー責任者が必要です。無効になっているときは、どのセキュリティー責任者でも KMA をロック解除できます。
バックアップ処理中に作成されるファイルで、KMA の復元に必要なすべての情報が含まれています。バックアップ専用に生成された鍵を使用して暗号化されます。鍵は、対応するバックアップ鍵ファイルに格納されます。
バックアップ処理中に生成されるファイルで、バックアップファイルの暗号化に使用される鍵が格納されます。このファイルは、システムマスター鍵を使用して暗号化されます。マスター鍵は、定足数の鍵分割資格を使用して、コアセキュリティーバックアップファイルから抽出されます。
証明書は、所有者の承認と名前を検証するために使用される、デジタル署名されたドキュメントです。このドキュメントは、特殊な形式のデータブロックで構成されており、認証に必要な証明書の所有者名 (サブジェクト DN)、シリアル番号、有効期間、所有者の公開鍵、発行者の DN、および発行者のデジタル署名が含まれます。発行者は、所有者の名前がドキュメントの公開鍵に関連付けられている名前であることを保証します。
認証局は、エンドユーザーを登録し、エンドユーザー証明書を発行し、エンド下位の CA を作成できます。KMA 自体が認証局として機能し、ユーザー、エージェント、およびその他の KMA に対して証明書を発行します。
組織内のデータフローを管理するユーザー役割。データコンテキスト (鍵グループ) と、データをどのように保護して最終的に破棄するかを決定する規則 (鍵ポリシー) を定義して配備できます。
セキュリティー関連情報 (たとえば、暗号化の公開鍵と秘密鍵、パスワードや PIN などの認証データ) のことです。この情報が公開されたり変更されると、暗号化モジュールのセキュリティーが損なわれる可能性があります。
暗号化アクセラレータは、データ暗号化および復号化の処理速度向上を目的として使用されるハードウェアデバイス (カード) です。これにより、需要が高い状況でのシステム性能が向上します。
鍵を暗号化に使用できる期間。鍵が最初にドライブに割り当てられたときに始まります。この値は、NIST 800-57 の「Originator Usage Period」に対応しています。
データユニットは OKM 内部の抽象的な構成要素で、OKM ポリシーや暗号鍵に関連付けられたストレージオブジェクトを表します。データユニットの具体的な定義は、データユニットを作成した暗号化エージェントによって定義されます。テープドライブの場合、データユニットはテープカートリッジです。
秘密コードへのデータの変換。暗号化はデータのセキュリティーを実現するもっとも効果的な方法の 1 つです。暗号化されたファイルを読み取るには、ファイルの暗号化を解除することができる特別な鍵またはパスワードを使用できる必要があります。
Federal Information Processing Standards (連邦情報処理標準)。National Institute of Standards and Technology (NIST、米国標準規格局) は、米国商務省の技術管理部内の非規制連邦機関であり、次のような標準規格や技術の開発および促進を行なっています。
Computer Security Division and Resource Center (CSRC)
Federal Information Processing Standards (FIPS、連邦情報処理標準)
詳細については、次にアクセスしてください。
http://www.nist.gov/
暗号化での HMAC (keyed-Hash Message Authentication Code) とは、暗号化ハッシュ関数と秘密鍵を組み合わせて計算される、メッセージ認証コード (Message Authentication Code、MAC) の一種です。
デバイスを特定し、ネットワーク経由でアクセス可能にするための 4 バイトの値。IP アドレスの形式は、32 ビットの数値アドレスで、ピリオドで区切られた 4 つの番号として記述されます。各番号には 0 から 255 の範囲の値を使用できます。たとえば、10.172.145.23 は IP アドレスに使用できます。
「TCP/IP アドレス」としても知られています。
ここでは、鍵は対称データ暗号化鍵のことです。エージェントは、1 つ以上のデータユニットに対応するデータの暗号化を行うために、新しい鍵データを要求できます。鍵は単一の鍵グループに属しているため、その鍵グループに関連付けられているエージェントのみが、対応する鍵にアクセスできます。鍵には、その鍵が属している鍵グループに関連付けられている鍵ポリシーで規定された、暗号化と復号化の暗号化有効期間があります。鍵のタイプ、つまり鍵の長さとアルゴリズムは、暗号化エージェントによって指定されます。
Oracle Key Manager によって生成されるランダムなビット文字列。キーボードを使用して入力するか、または購入します。鍵には、次のタイプがあります。
デバイス鍵は、テープドライブの暗号化機能を有効にします。
媒体鍵は、テープカートリッジ上の顧客データを暗号化および復号化します。
PC 鍵は、テープドライブの暗号化機能を有効にします。
通信鍵は、トークンからドライブへの LAN を介した転送中に、暗号化 (認証) を行うための別の層を媒体鍵に追加します。
分割鍵はドライブごとに一意であり、保護を実現するためにラップ鍵と連携します。
ラップ鍵は、LAN 上の媒体鍵とトークンを暗号化します。
Key Management Appliance (KMA)
OKM ソフトウェアが事前ロードされた Netra SPARC T4-1、Sun Fire X2100 M2、X2200 M2、または X4170 M2 サーバー。アプライアンスは、ポリシーベースの鍵マネージャーおよび鍵プロビジョニングサービスを提供します。
鍵ポリシーによって、鍵に適用される暗号化有効期間の設定値が提供されます。各鍵グループには鍵ポリシーがあり、鍵ポリシーは 0 個以上の鍵グループに適用できます。ポリシーで指定された暗号化と復号化の暗号化有効期間によって、鍵の使用法が制限され、鍵の無効化、破棄など、鍵のライフサイクルイベントが発生します。
また、鍵ポリシーによって制御される鍵を、どのような状況でほかの鍵転送パートナーにエクスポートできるか、またはその他の鍵転送パートナーからインポートできるかも、鍵ポリシーで制御されます。
鍵と関連データユニット (定義されている場合) が含まれるファイル。鍵データを OKM クラスタ間で移動する場合に使用されます。転送にかかわる双方で、交換の相手側となる鍵転送パートナーが構成されている必要があります。鍵転送ファイルは、転送される情報の機密性と完全性を確実にするため、署名および暗号化されます。
相互接続された 1 つ以上の KMA の集合。OKM クラスタ内のすべての KMA は、同一の情報を持ちます。ただし、ある OKM が停止している場合、または新たに作成された情報の一部が OKM クラスタ内のすべての KMA にはまだ伝播されていない場合はこのかぎりではありません。OKM クラスタ内の任意の KMA で実行されたアクションは、最終的に OKM クラスタ内のすべての KMA に伝播されます。
米国標準規格局 (NIST) によって Advanced Encryption Standard (AES) 用に選択されたアルゴリズム。「ラインダール」と読むこのアルゴリズムは、Vincent Rijmen と Joan Daemen という 2 人のベルギー人暗号研究者によって考案されたものであり、暗号名にはこの 2 人の姓が反映されています。
暗号化での RSA とは、MIT の Ron Rivest、Adi Shamir、および Leonard Adleman によって考案された公開鍵暗号化のアルゴリズムです。RSA という略称は、この 3 人の姓の頭文字です。
Secure Hash Algorithms は、米国国家安全保障局 (NSA) によって策定され、NIST によって米国連邦情報処理標準として公開された暗号化ハッシュ関数です。
暗号化アルゴリズムの一種。秘密情報が分割され、それぞれの分割部分には一意の内容のみが含まれるため、秘密情報の再構築にはこれらの分割部分の一部またはすべてが必要になります。秘密情報を再構築するためにすべての分割部分を組み合わせることは現実的ではありません。このため、定足数またはしきい値スキームが使用されています。
サイトは、各 OKM および暗号化エージェントの属性であり、ネットワークの近接性 (局所性) を示します。ローカルサイトの KMA がどれも応答しない場合、暗号化エージェントはまず同じサイトの KMA との通信を試みてから、別のサイトの KMA との通信を試みます。
ユーザーによって開始される操作。すべての関連データが単一ファイルにまとめられ、ユーザーがこの操作を開始したマシンにそのファイルがダウンロードされます。ダウンロードが完了すると、ファイルは KMA から削除されます。
T10000 テープドライブは、データの大容量ストレージとして設計された、小型のモジュラー型高性能テープドライブです。T10000A は 500 ギガバイト (GB)、T10000B は 1 テラバイト、T10000C は 5 テラバイト、T10000D は 8 テラバイトまでの非圧縮データを格納できます。
KMS Version 1.x の用語。
トークンとは、Ethernet 接続のトークンベイに接続される、コンパクトなインテリジェントデバイスです。トークンには、次の 2 つの役割があります。
有効化鍵トークン
運用中鍵トークン
KMS Version 1.x の用語。
物理トークンを格納し、1 つまたは 2 つのトークンに対して背面のブラインドメイトコネクタ経由で電源と接続を提供するシャーシのことです。トークンベイは、標準 19 インチラック (1U フォームファクタ) と互換性があります。トークンベイには、デスクトップ型とラックマウント型の 2 つのタイプがあります。
Transport Layer Security (TLS)
暗号化プロトコルの一種。Web 参照、電子メール、インターネットファックス送信、インスタントメッセージ、その他のデータ転送などを目的として、インターネット上のセキュアな通信を提供します。