Red Hat Summit11.4.2. Trabalhando com chaves criptografadas
A seção seguinte descreve o gerenciamento de chaves criptografadas para melhorar a segurança do sistema em sistemas onde um Módulo de Plataforma Confiável (TPM) não está disponível.
Pré-requisitos
-
Para a arquitetura ARM de 64 bits e IBM Z, o módulo do kernel
encrypted-keysprecisa ser carregado. Para mais informações sobre como carregar os módulos do kernel, veja Capítulo 3, Gerenciando módulos do núcleo.
Procedimento
Use uma seqüência aleatória de números para gerar uma chave de usuário:
keyctl add user kmk-user “dd if=/dev/urandom bs=1 count=32 2>/dev/null” @u 427069434
# keyctl add user kmk-user “dd if=/dev/urandom bs=1 count=32 2>/dev/null” @u 427069434Copy to Clipboard Copied! Toggle word wrap Toggle overflow O comando gera uma chave de usuário chamada
kmk-userque atua como um primary key e é usada para selar as chaves criptografadas reais.Gerar uma chave criptografada usando a chave primária da etapa anterior:
keyctl add encrypted encr-key "new user:kmk-user 32" @u 1012412758
# keyctl add encrypted encr-key "new user:kmk-user 32" @u 1012412758Copy to Clipboard Copied! Toggle word wrap Toggle overflow Opcionalmente, liste todas as chaves no chaveiro do usuário especificado:
keyctl list @u 2 keys in keyring: 427069434: --alswrv 1000 1000 user: kmk-user 1012412758: --alswrv 1000 1000 encrypted: encr-key
# keyctl list @u 2 keys in keyring: 427069434: --alswrv 1000 1000 user: kmk-user 1012412758: --alswrv 1000 1000 encrypted: encr-keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Tenha em mente que as chaves criptografadas que não são seladas por uma chave primária confiável são apenas tão seguras quanto a chave primária do usuário (chave de número aleatório) que foi usada para criptografá-las. Portanto, a chave primária do usuário deve ser carregada com a maior segurança possível e de preferência cedo durante o processo de inicialização.
Recursos adicionais
-
Para informações detalhadas sobre o uso de
keyctl, consulte a página do manualkeyctl(1). - Para mais informações sobre o serviço de chaveiro do kernel, veja a documentação do kernel a montante.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}