Red Hat Summit18.3.3. Tang サーバーのキー変更
以下の手順では、例として一意のキーが割り当てられた 3 つの Tang サーバーセットを使用します。
冗長な Tang サーバーを使用すると、ノードの自動起動に失敗する可能性が低減します。
Tang サーバーおよび関連付けられたすべての NBDE 暗号化ノードのキーは 3 つの手順を使用して、再生成します。
前提条件
- 1 つ以上のノードで機能する Network-Bound Disk Encryption(NBDE) をインストールしておく。
手順
- 新しい Tang サーバーキーを生成します。
- NBDE で暗号化された全ノードに新規キーを使用するようにキーを再生成します。
古い Tang サーバーキーを削除します。
注記NBDE で暗号化されたすべてのノードがキーの再生成を完了する前に古いキーを削除すると、それらのノードは他の設定済みの Tang サーバーに過度に依存するようになります。
図18.2 Tang サーバーのキー再生成のワークフロー例
18.3.3.1. 新しい Tang サーバーキーの生成
前提条件
- Tang サーバーを実行する Linux マシンのルートシェル。
Tang サーバーキーのローテーションを容易に検証するには、古いキーで小規模なテストファイルを暗号化します。
# echo plaintext | clevis encrypt tang '{"url":"http://localhost:7500”}' -y >/tmp/encrypted.oldkey暗号化が正常に完了し、ファイルを復号化して同じ文字列
plaintextを生成できることを確認します。# clevis decrypt </tmp/encrypted.oldkey
手順
Tang サーバーキーの保存先のディレクトリーを見つけてアクセスします。通常、これは
/var/db/tangディレクトリーです。現在公開されているキーのサムプリントを確認します。# tang-show-keys 7500出力例
36AHjNH3NZDSnlONLz1-V4ie6t8Tang サーバーのキーディレクトリーを入力します。
# cd /var/db/tang/現在の Tang サーバーキーをリスト表示します。
# ls -A1出力例
36AHjNH3NZDSnlONLz1-V4ie6t8.jwk gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk通常の Tang サーバーの操作時に、このディレクトリーには、署名および検証用とキー派生用の 2 つの
.jwkファイルがあります。古いキーのアドバタイズを無効にします。
# for key in *.jwk; do \ mv -- "$key" ".$key"; \ doneNetwork-Bound Disk Encryption(NBDE) を使用する新規クライアント、またはキーを要求する新規クライアントには古いキーは表示されなくなりました。既存のクライアントは、削除されるまで以前のキーにアクセスして使用できます。Tang サーバーは、
.文字で始まる、UNIX の非表示ファイルに保存されているキーを読み取りますがアドバタイズはしません。新しいキーを生成します。
# /usr/libexec/tangd-keygen /var/db/tangこれらのファイルは非表示になり、新しいキーが存在するので、現在の Tang サーバーキーをリスト表示して古いキーがアドバタイズされなくなったことを確認します。
# ls -A1出力例
.36AHjNH3NZDSnlONLz1-V4ie6t8.jwk .gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwkTang は、新しいキーを自動的にアドバタイズします。
注記より新しい Tang サーバーのインストールには、アドバタイズを無効にして新規キーを同時に生成するヘルパー
/usr/libexec/tangd-rotate-keysディレクトリーが含まれます。- 同じキー情報を共有するロードバランサーの背後で複数の Tang サーバーを実行している場合は、続行する前に、ここで加えた変更が一連のサーバー全体に適切に同期されていることを確認します。
検証
Tang サーバーが、古いキーではなく、新しいキーをアドバタイズすることを確認します。
# tang-show-keys 7500出力例
WOjQYkyK7DxY_T5pMncMO5w0f6Eアドバタイズされていない古いキーがまだ復号化要求に使用できることを確認します。
# clevis decrypt </tmp/encrypted.oldkey
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}