Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

30.4. 信頼できる鍵および暗号化された鍵

以下のセクションでは、システムセキュリティーの強化で重要なロールを果たす信頼できる鍵および暗号化鍵について紹介します。

信頼できる 鍵と 暗号化 鍵は、カーネルキーリングサービスを使用するカーネルが生成する可変長の対称鍵です。このタイプの鍵は、暗号化されていない形式ではユーザー空間に表示されないため、その整合性を検証できます。つまり、拡張検証モジュール (EVM) などで実行中のシステムの整合性を検証および確認する時に使用できます。ユーザーレベルのプログラムがアクセス可能なのは、暗号化された ブロブ の形式での鍵のみです。

信頼できる鍵は、Trusted Platform Module (TPM) チップというハードウェアが必要になります。これは、鍵を作成し、暗号化 (保護) するために使用されます。TPM は storage root key (SRK) という 2048 ビットの RSA 鍵を使用して鍵を保護します。

注記

TPM 1.2 仕様を使用するには、マシンファームウェアの設定、またはユーティリティーの tpm-tools パッケージの tpm_setactive コマンドを使用して、この仕様を有効にしてアクティブにします。また、TrouSers ソフトウェアスタックをインストールし、tcsd デーモンを実行して TPM (専用のハードウェア) と通信させる必要があります。tcsd デーモンは TrouSers スイートの一部で、trousers パッケージから入手できます。より新しい、後方互換性のない TPM 2.0 は、別のソフトウェアスタックを使用して、そのソフトウェアの tpm2-tools または ibm-tss ユーティリティーで専用のハードウェアにアクセスできるようにします。

さらに、ユーザーは TPM の platform configuration register (PCR) 値の特定セットで信頼できる鍵を保護できます。PCR には、ファームウェア、ブートローダー、およびオペレーティングシステムを反映する整合性管理値のセットが含まれます。つまり、PCR で保護された鍵は、暗号化を行った同じシステム上にある TPM でしか復号できません。ただし、PCR で保護された信頼できる鍵が読み込まれると (キーリングに追加されると)、新しいカーネルなどを起動できるように、関連する PCR 値が検証され、新しい (または今後の) PCR 値に更新されます。1 つの鍵を複数のブロブとして保存することもできますが、それぞれ PCR 値が異なります。

暗号化鍵は、カーネルの AES (Advanced Encryption Standard) を使用するため、TPM を必要としないので、信頼できる鍵よりも高速になります。暗号化鍵は、カーネルが生成した乱数を使用して作成され、ユーザー空間のブロブへのエクスポート時に マスターキー により暗号化されます。マスターキーは信頼できる鍵か、ユーザーキーのいずれかです。マスターキーが信頼されていない場合には、暗号化鍵のセキュリティーは、暗号化に使用されたユーザーキーと同じように保護されます。