8.4. 暗号化鍵での作業
暗号化鍵を管理することで、Trusted Platform Module (TPM) が使用できないシステムのシステムセキュリティーを向上できます。
暗号化されたキーは、信頼できるプライマリーキーによって封印されていない限り、暗号化に使用されるユーザープライマリーキー (乱数キー) のセキュリティーレベルを継承します。したがって、プライマリーユーザーキーを安全に、できれば起動プロセスの早い段階でロードすることを強く推奨します。
前提条件
64 ビット ARM アーキテクチャーおよび IBM Z の場合、
encrypted-keysカーネルモジュールがロードされます。# modprobe encrypted-keys
カーネルモジュールをロードする方法の詳細は、システムランタイム時のカーネルモジュールの読み込み を参照してください。
手順
ランダムな数字のシーケンスを使用してユーザーキーを生成します。
# keyctl add user kmk-user "$(dd if=/dev/urandom bs=1 count=32 2>/dev/null)" @u 427069434このコマンドは、
kmk-userという名前のユーザーキーを生成し、プライマリーキー として動作させ、このユーザーキーを使用して実際の暗号化鍵を保護します。前の手順で取得したプライマリーキーを使用して、暗号化鍵を生成します。
# keyctl add encrypted encr-key "new user:kmk-user 32" @u 1012412758
検証
指定したユーザーキーリングにあるすべての鍵をリスト表示します。
# keyctl list @u 2 keys in keyring: 427069434: --alswrv 1000 1000 user: kmk-user 1012412758: --alswrv 1000 1000 encrypted: encr-key
関連情報
-
keyctl(1)の man ページ
