Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

24.3.2.4. 신뢰할 수 있는 암호화된 키

다음 섹션에서는 시스템 보안을 강화하는 데 중요한 일환으로 신뢰할 수 있고 암호화된 키를 소개합니다.

신뢰할 수 있는 암호화된 키는 커널 인증 키를 사용하는 커널에서 생성하는 가변 길이 대칭 키입니다. 이러한 유형의 키 유형이 암호화되지 않은 형식의 사용자 공간에 표시되지 않는다는 것은 해당 키의 무결성을 확인할 수 있음을 의미하며, 이는 예를 들어 실행 중인 시스템의 무결성을 확인하고 확인하는 데 EVM(Extended verification 모듈)을 통해 사용할 수 있음을 의미합니다. 사용자 수준 프로그램은 암호화된 Blob 형태의 키에만 액세스할 수 있습니다.

신뢰할 수 있는 키에는 하드웨어 구성 요소가 필요합니다. 이 칩은 키를 만들고 암호화하는 데 사용됩니다. TPM은 SRK( 스토리지 루트 키)라는 2048비트 RSA 키를 사용하여 키를 봉인합니다.

참고

TPM 1.2 사양을 사용하려면 시스템 펌웨어의 설정을 통해 또는 tpm -tools 유틸리티 패키지에서 tpm_setactive 명령을 사용하여 활성화하고 활성화합니다. 또한 TrouSers 소프트웨어 스택을 설치해야 하며 TPM(전용 하드웨어)과 통신하기 위해 tcsd 데몬을 실행해야 합니다. tcsd 데몬은 TrouSers 제품군의 일부입니다. 이 제품군은 구성요소 패키지를 통해 사용할 수 있습니다. 최신 버전과 호환되지 않는 TPM 2.0은 tpm2-tools 또는 ibm-tss 유틸리티가 전용 하드웨어에 대한 액세스를 제공하는 다른 소프트웨어 스택을 사용합니다.

또한 사용자는 신뢰할 수 있는 키를 특정 TPM의 PCR( 플랫폼 구성 레지스터 ) 값 세트로 봉인할 수 있습니다. PCR에는 펌웨어, 부트 로더 및 운영 체제를 반영하는 무결성-관리 값 집합이 포함되어 있습니다. 즉, PCR 봉인된 키는 암호화된 동일한 시스템에서 TPM으로만 해독할 수 있습니다. 그러나 PCR 봉인된 신뢰할 수 있는 키가 로드되고(키링에 추가) 관련 PCR 값이 확인되면 새 (또는 향후) PCR 값으로 업데이트할 수 있으므로 새 커널(예:)을 부팅할 수 있습니다. 단일 키도 여러 개의 Blob으로 저장할 수 있으며 각각 다른 PCR 값이 있습니다.

암호화된 키는 TPM이 필요하지 않습니다. 이는 커널 AES(Advanced Encryption Standard)를 사용하므로 신뢰할 수 있는 키보다 빠릅니다. 암호화된 키는 커널에서 생성된 임의 숫자를 사용하여 생성되며 사용자 공간 Blob으로 내보낼 때 마스터 키로 암호화됩니다. 마스터 키는 신뢰할 수 있는 키 또는 사용자 키입니다. 마스터 키가 신뢰할 수 없는 경우 암호화된 키는 암호화에 사용되는 사용자 키만큼 안전합니다.