29.4. 암호화된 키 작업
암호화된 키를 관리하여 신뢰할 수 있는 플랫폼 모듈(TPM)을 사용할 수 없는 시스템에서 시스템 보안을 개선할 수 있습니다.
사전 요구 사항
64비트 ARM 아키텍처 및 IBM Z의 경우
encrypted-keys
커널 모듈이 로드됩니다.# modprobe encrypted-keys
커널 모듈을 로드하는 방법에 대한 자세한 내용은 시스템 런타임 시 커널 모듈 로드 를 참조하십시오.
절차
임의의 숫자 시퀀스를 사용하여 사용자 키를 생성합니다.
# keyctl add user kmk-user "$(dd if=/dev/urandom bs=1 count=32 2>/dev/null)" @u 427069434
명령은 기본 키 역할을 하고 실제 암호화된 키를 봉인하는 데 사용되는
kmk-user
라는 사용자 키를 생성합니다.이전 단계의 기본 키를 사용하여 암호화된 키를 생성합니다.
# keyctl add encrypted encr-key "new user:kmk-user 32" @u 1012412758
선택적으로 지정된 사용자 인증 키의 모든 키를 나열합니다.
# keyctl list @u 2 keys in keyring: 427069434: --alswrv 1000 1000 user: kmk-user 1012412758: --alswrv 1000 1000 encrypted: encr-key
신뢰할 수 있는 기본 키로 봉인되지 않은 암호화된 키는 암호화에 사용된 사용자 기본 키(임의 숫자 키)만큼 안전합니다. 따라서 기본 사용자 키를 최대한 안전하게 로드하고 부팅 프로세스 중 조기에 로드됩니다.
추가 리소스
-
keyctl(1)
매뉴얼 페이지 - 커널 키 보존 서비스