9.6. 基本的な NBDE および TPM2 暗号化クライアント操作

Clevis 暗号化クライアントが Tang サーバーにバインドされていることを確認するには、clevis encrypt tang サブコマンドを使用します。

$ clevis encrypt tang '{"url":"http://tang.srv:port"}' < input-plain.txt > secret.jwe
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y

上記の例の http://tang.srv:port URL は、tang がインストールされているサーバーの URL と一致するように変更します。出力ファイル secret.jwe には、JWE 形式で暗号化された暗号文が含まれています。この暗号文は入力ファイル input-plain.txt から読み取られたものです。

または、設定上、SSH アクセスを使用せずに Tang サーバーと非対話的に通信する必要がある場合は、アドバタイズメントをダウンロードしてファイルに保存できます。

$ curl -sfg http://tang.srv:port/adv -o adv.jws

adv.jws ファイル内のアドバタイズメントは、ファイルやメッセージの暗号化など、後続のタスクに使用します。

$ echo 'hello' | clevis encrypt tang '{"url":"http://tang.srv:port","adv":"adv.jws"}'

データを復号するには、暗号文 (JWE) を指定した clevis decrypt コマンドを使用します。

$ clevis decrypt < secret.jwe > output-plain.txt

clevis、clevis decrypt、および clevis encrypt tang コマンドを引数なしで実行すると、組み込みの CLI ヘルプが表示されます。次に例を示します。

$ clevis encrypt tang
Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE
…

TPM 2.0 チップを使用して暗号化するには、JSON 設定オブジェクト形式の引数だけを指定した clevis encrypt tpm2 サブコマンドを使用します。

$ clevis encrypt tpm2 '{}' < input-plain.txt > secret.jwe

別の階層、ハッシュ、および鍵アルゴリズムを選択するには、以下のように、設定プロパティーを指定します。

$ clevis encrypt tpm2 '{"hash":"sha256","key":"rsa"}' < input-plain.txt > secret.jwe

データを復号するには、JSON Web Encryption (JWE) 形式の暗号文を提供します。

$ clevis decrypt < secret.jwe > output-plain.txt

ピンは、PCR (Platform Configuration Registers) 状態へのデータのシーリングにも対応します。このように、PCR ハッシュ値が、シーリング時に使用したポリシーと一致する場合にのみ、データのシーリングを解除できます。

たとえば、SHA-256 バンクに対して、インデックス 0 および 7 の PCR にデータをシールするには、以下を行います。

$ clevis encrypt tpm2 '{"pcr_bank":"sha256","pcr_ids":"0,7"}' < input-plain.txt > secret.jwe