Red Hat Training
A Red Hat training course is available for RHEL 8
11.4.2. Trabajar con claves encriptadas
En la siguiente sección se describe la gestión de las claves cifradas para mejorar la seguridad del sistema en los sistemas en los que no se dispone de un módulo de plataforma de confianza (TPM).
Requisitos previos
-
Para la arquitectura ARM de 64 bits e IBM Z, es necesario cargar el módulo del kernel
encrypted-keys
. Para obtener más información sobre cómo cargar los módulos del kernel, consulte Capítulo 3, Gestión de los módulos del núcleo.
Procedimiento
Utiliza una secuencia aleatoria de números para generar una clave de usuario:
# keyctl add user kmk-user “dd if=/dev/urandom bs=1 count=32 2>/dev/null” @u 427069434
El comando genera una clave de usuario llamada
kmk-user
que actúa como primary key y se utiliza para sellar las claves cifradas reales.Generar una clave cifrada utilizando la clave primaria del paso anterior:
# keyctl add encrypted encr-key "new user:kmk-user 32" @u 1012412758
Opcionalmente, lista todas las llaves del llavero del usuario especificado:
# keyctl list @u 2 keys in keyring: 427069434: --alswrv 1000 1000 user: kmk-user 1012412758: --alswrv 1000 1000 encrypted: encr-key
Ten en cuenta que las claves encriptadas que no están selladas por una clave primaria de confianza sólo son tan seguras como la clave primaria de usuario (clave de número aleatorio) que se utilizó para encriptarlas. Por lo tanto, la clave primaria de usuario debe cargarse de la forma más segura posible y preferiblemente al principio del proceso de arranque.
Recursos adicionales
-
Para obtener información detallada sobre el uso de
keyctl
, consulte la página del manualkeyctl(1)
. - Para obtener más información sobre el servicio de llavero del núcleo, consulte la documentación del núcleo ascendente.