8.4. 암호화된 키 작업

암호화된 키를 관리하여 신뢰할 수 있는 플랫폼 모듈(TPM)을 사용할 수 없는 시스템에서 시스템 보안을 개선할 수 있습니다.

사전 요구 사항

64비트 ARM 아키텍처 및 IBM Z의 경우 encrypted-keys 커널 모듈이 로드됩니다.
```
# modprobe encrypted-keys
```
커널 모듈을 로드하는 방법에 대한 자세한 내용은 시스템 런타임 시 커널 모듈 로드 를 참조하십시오.

절차

임의의 숫자 시퀀스를 사용하여 사용자 키를 생성합니다.
```
# keyctl add user kmk-user "$(dd if=/dev/urandom bs=1 count=32 2>/dev/null)" @u
427069434
```
명령은 기본 키 역할을 하고 실제 암호화된 키를 봉인하는 데 사용되는 kmk-user 라는 사용자 키를 생성합니다.
이전 단계의 기본 키를 사용하여 암호화된 키를 생성합니다.
```
# keyctl add encrypted encr-key "new user:kmk-user 32" @u
1012412758
```

검증

지정된 사용자 인증 키의 모든 키를 나열합니다.

# keyctl list @u
2 keys in keyring:
427069434: --alswrv  1000  1000 user: kmk-user
1012412758: --alswrv  1000  1000 encrypted: encr-key

중요

신뢰할 수 있는 기본 키로 봉인되지 않은 암호화된 키는 암호화에 사용된 사용자 기본 키(임의 숫자 키)만큼 안전합니다. 따라서 기본 사용자 키를 최대한 안전하게 로드하고 부팅 프로세스 중 조기에 로드됩니다.

추가 리소스