9.6. Implementação de um cliente de criptografia para um sistema NBDE com Tang

O procedimento seguinte contém passos para configurar o desbloqueio automático de um volume criptografado com um servidor de rede Tang.

Pré-requisitos

Procedimento

Para vincular um cliente de criptografia Clevis a um servidor Tang, use o sub-comando clevis encrypt tang:
```
$ clevis encrypt tang '{"url":"http://tang.srv:port"}' < input-plain.txt > secret.jwe
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y
```
Alterar a URL http://tang.srv:port no exemplo anterior para corresponder à URL do servidor onde tang está instalado. O arquivo de saída secret.jwe contém seu texto criptografado em cifra no formato JSON Web Encryption. Este texto de cifra é lido do arquivo de entrada input-plain.txt.
Alternativamente, se sua configuração requer uma comunicação não interativa com um servidor Tang sem acesso SSH, você pode baixar um anúncio e salvá-lo em um arquivo:
```
$ curl -sfg http://tang.srv:port/adv -o adv.jws
```
Use o anúncio no arquivo adv.jws para qualquer tarefa seguinte, como a criptografia de arquivos ou mensagens:
```
$ echo 'hello' | clevis encrypt tang '{"url":"http://tang.srv:port","adv":"adv.jws"}'
```
Para decifrar dados, use o comando clevis decrypt e forneça o texto cifrado (JWE):
```
$ clevis decrypt < secret.jwe > output-plain.txt
```

Recursos adicionais

Para uma referência rápida, veja a página de manual clevis-encrypt-tang(1) ou use a ajuda CLI embutida:

$ clevis
$ clevis decrypt
$ clevis encrypt tang
Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE
...

Para mais informações, consulte as seguintes páginas de homem:
- clevis(1)
- clevis-luks-unlockers(7)