Language:
Format:

Red Hat Training

A Red Hat training course is available for RHEL 8

10.6. 暗号化鍵での作業

Trusted Platform Module (TPM) が利用できないシステムでは、暗号化された鍵を管理してシステムのセキュリティーを向上させることができます。

前提条件

64 ビット ARM アーキテクチャーおよび IBM Z の場合は、encrypted-keys カーネルモジュールを読み込む必要があります。カーネルモジュールを読み込む方法は、Managing kernel modules を参照してください。

手順

無作為な数列を使用してユーザーキーを生成します。
```
# keyctl add user kmk-user "$(dd if=/dev/urandom bs=1 count=32 2>/dev/null)" @u
427069434
```
このコマンドは、kmk-user という名前のユーザーキーを生成し、プライマリーキー として動作させ、このユーザーキーを使用して実際の暗号化鍵を保護します。
前の手順で取得したプライマリーキーを使用して、暗号化鍵を生成します。
```
# keyctl add encrypted encr-key "new user:kmk-user 32" @u
1012412758
```

必要に応じて、指定したユーザーキーリングにあるすべての鍵を一覧表示します。

# keyctl list @u
2 keys in keyring:
427069434: --alswrv  1000  1000 user: kmk-user
1012412758: --alswrv  1000  1000 encrypted: encr-key

重要

暗号化鍵が信頼できるプライマリーキーで保護されていない場合には、ユーザーのプライマリーキー (乱数キー) を使用して暗号化した場合のセキュリティーと同程度でしかない点に注意してください。そのため、プライマリーユーザーキーはできるだけ安全に、システムの起動プロセスの早い段階で読み込む必要があります。

関連情報

keyctl(1) の man ページ
Kernel Key Retention Service