Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

30.5. 信頼できる鍵での作業

次のセクションでは、keyctl ユーティリティーを使用して信頼できる鍵を作成、エクスポート、読み込み、または更新して、システムセキュリティーを強化する方法を説明します。

前提条件

  • 64 ビット ARM アーキテクチャーおよび IBM Z の場合は、信頼できる カーネルモジュールを読み込む必要があります。カーネルモジュールを読み込む方法は、Managing kernel modules を参照してください。
  • Trusted Platform Module (TPM) を有効にしてアクティブにする必要があります。TPM の詳細は、The kernel integrity subsystemTrusted and encrypted keys 参照してください。

手順

  1. TPM を使用して信頼できる鍵を作成するには、次のコマンドを実行します。

    # keyctl add trusted <name> "new <key_length> [options]" <key_ring>
    • 構文に基づいて、以下のようにサンプルコマンドを作成します。

      # keyctl add trusted kmk "new 32" @u
      642500861

      このコマンドは、kmk という名前の信頼できる鍵を 32 バイト (256 ビット) の長さで作成し、ユーザーキーリング (@u) に配置します。鍵の長さは 32 から 128 バイト (256 から 1024 ビット) です。

  2. カーネルキーリングの現在の構造を一覧表示するには、以下を実行します。

    # keyctl show
    Session Keyring
           -3 --alswrv    500   500  keyring: ses 97833714 --alswrv 500 -1 \ keyring: uid.1000 642500861 --alswrv 500 500 \ trusted: kmk
  3. ユーザー空間のブロブに鍵をエクスポートするには、次のコマンドを実行します。

    # keyctl pipe 642500861 > kmk.blob

    このコマンドは、pipe サブコマンドと kmk のシリアル番号を使用します。

  4. ユーザー空間のブロブから信頼できる鍵を読み込むには、ブログを引数として add サブコマンドを使用します。

    # keyctl add trusted kmk "load `cat kmk.blob`" @u
    268728824
  5. TPM で保護された信頼できる鍵に基づいて、安全な暗号化された鍵を作成します。

    # keyctl add encrypted <pass:quotes[name]> "new [format] <pass:quotes[key_type]>:<pass:quotes[primary_key_name]> <pass:quotes[keylength]>" <pass:quotes[key_ring]>
    • 構文に基づいて、すでに作成された信頼できる鍵を使用して暗号化鍵を生成します。

      # keyctl add encrypted encr-key "new trusted:kmk 32" @u
      159771175

      このコマンドは、前の手順で生成した TPM で保護された信頼できる鍵 (kmk) を、暗号化鍵を生成する プライマリーキー として使用します。