9.2. 暗号化クライアント (Clevis) のインストール

この手順に従って、システムに Clevis プラグ可能フレームワークを使用してデプロイと起動を行います。

手順

  1. 暗号化されたボリュームを持つシステムに Clevis とそのピンをインストールするには、次のコマンドを実行します。

    # yum install clevis
  2. データを複号するには、clevis decrypt コマンドを実行して、JWE (JSON Web Encryption) 形式で暗号文を指定します。以下に例を示します。

    $ clevis decrypt < secret.jwe

関連情報

  • クリックリファレンスは、組み込みの CLI ヘルプを参照してください。

    $ clevis
    Usage: clevis COMMAND [OPTIONS]
    
      clevis decrypt      Decrypts using the policy defined at encryption time
      clevis encrypt sss  Encrypts using a Shamir's Secret Sharing policy
      clevis encrypt tang Encrypts using a Tang binding server policy
      clevis encrypt tpm2 Encrypts using a TPM2.0 chip binding policy
    
    $ clevis decrypt
    Usage: clevis decrypt < JWE > PLAINTEXT
    
    Decrypts using the policy defined at encryption time
    
    $ clevis encrypt tang
    Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE
    
    Encrypts using a Tang binding server policy
    
    This command uses the following configuration properties:
    
      url: <string>   The base URL of the Tang server (REQUIRED)
    
      thp: <string>   The thumbprint of a trusted signing key
    
      adv: <string>   A filename containing a trusted advertisement
      adv: <object>   A trusted advertisement (raw JSON)
    
    Obtaining the thumbprint of a trusted signing key is easy. If you
    have access to the Tang server's database directory, simply do:
    
        $ jose jwk thp -i $DBDIR/$SIG.jwk
    
    Alternatively, if you have certainty that your network connection
    is not compromised (not likely), you can download the advertisement
    yourself using:
    
        $ curl -f $URL/adv > adv.jws
  • 詳細は、man ページの clevis(1) を参照してください。