Tangキーのローテーション

セキュリティ向上のために、Tangキーを定期的にローテーションします。キーのローテーションは手動であり、必須の手順ではありません。

/var/db/tangの古いキーの名前を変更します。
Tangキーをローテーションするには、/var/db/tangディレクトリ内の古いキーの名前を変更してピリオド(.)を接頭辞として付けて、それらが非表示になり、初期化コマンドが再実行されます。たとえば:
```
cd /var/db/tang; for i in *; do mv $i .$i; done
```

Tangキーを再生成します。

sudo /usr/libexec/tangd-keygen /var/db/tang

システムから古いキーを削除します。

クライアント・システムが古いキーのいずれかに依存していないことが確実な場合は、システムからそれらを削除できます。クライアントがまだ使用している間に古いキーを削除すると、ディスクまたはボリュームのロック解除が失敗し、ブート時に既存のLUKSパスフレーズを手動で指定する必要があります。

古いキーを削除するには、接頭辞にピリオド(.)が付いた/var/db/tang内のファイルを削除します。

Tangサーバー上でキーをローテーションするときは、新しいキーを使用するようにクライアントを更新する必要があります。詳細は、Tangキー・ローテーションのためのClevisの更新を参照してください。