22.4. Travailler avec des clés cryptées
Vous pouvez améliorer la sécurité du système sur les systèmes qui ne disposent pas d'un module de plate-forme de confiance (TPM) en gérant des clés cryptées.
Procédure
Générer une clé d'utilisateur en utilisant une séquence aléatoire de nombres.
# keyctl add user kmk-user "$(dd if=/dev/urandom bs=1 count=32 2>/dev/null)" @u 427069434
La commande génère une clé d'utilisateur appelée
kmk-user
qui fait office de primary key et est utilisée pour sceller les clés cryptées proprement dites.Générer une clé cryptée en utilisant la clé primaire de l'étape précédente :
# keyctl add encrypted encr-key "new user:kmk-user 32" @u 1012412758
Optionnellement, liste de toutes les clés du trousseau de l'utilisateur spécifié :
# keyctl list @u 2 keys in keyring: 427069434: --alswrv 1000 1000 user: kmk-user 1012412758: --alswrv 1000 1000 encrypted: encr-key
Les clés chiffrées qui ne sont pas scellées par une clé primaire de confiance ne sont aussi sûres que la clé primaire de l'utilisateur (clé de nombres aléatoires) qui a été utilisée pour les chiffrer. Par conséquent, chargez la clé primaire de l'utilisateur de la manière la plus sûre possible et, de préférence, au début du processus de démarrage.
Ressources supplémentaires
-
La page du manuel
keyctl(1)
- Service de conservation des clés du noyau