Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP- UX Developer Edge

暗号化セキュリティで重要情報を保護・後編

暗号化ボリューム&ファイルシステムEVFSの効用

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
暗号化セキュリティで重要情報を保護・後編
EVFSでは暗号化機能を管理するためのコマンド群を用意している。これらのコマンドを利用することで、EVFSサブシステムの管理をはじめ、暗号化鍵の作成や管理、暗号化ボリュームの作成や削除、そして暗号化ファイルシステムの管理を実施することが可能だ。ここでは、EVFSの暗号化機能を利用するまでの操作手順を紹介し、暗号化ボリュームの実際の使い勝手をレポートしたい
暗号化セキュリティで重要情報を保護・後編
EVFSの管理コマンド
暗号化ボリュームの作成
EVFS1.0のダウンロード
2006年10月
テクニカルライター 吉川和巳
前編で紹介したような強力かつ柔軟な暗号化機能を提供しつつも、コマンドレベルでの操作はとても直感的かつ簡単で、通常の論理ボリュームやファイルシステムとほとんど変わらない使い勝手を提供する。つまりEVFSは、「セキュリティと使いやすさの両立を実現するテクノロジー」と言えるだろう。

EVFSの管理コマンド

前編でも説明したとおり、EVFSでは暗号化機能を管理するためのツール群を用意している。以下では、この管理コマンドの実行例を紹介しながら、EVFSの利用の実際を解説したい。 EVFSでは、以下の4種類のコマンドを提供している。

  • evfsadm――EVFSサブシステムの管理
  • evfspkey――暗号化鍵の管理
  • evfsvol――暗号化ボリュームの管理
  • evfsfile――暗号化ファイルシステムの管理(2007年以降に提供予定)

これらのコマンドを利用しながら、以下の図1に示す手順で暗号化ボリュームの管理を進めていく。

EVFS暗号化ボリュームの利用手順
図1:EVFS暗号化ボリュームの利用手順
この一連の手順について、順を追って説明していこう。

EVFSサブシステムの開始

EVFSのインストールが完了したHP-UXシステムにおいてEVFSの利用を開始するには、まずEVFSサブシステムを起動する。その際に利用するのが、evfsadmコマンドである。同コマンドでは、以下の各オプションが利用可能だ。

<表:evfsadmコマンドのオプション>
オプション  機能
start 暗号化サブシステム(EVFS)の開始 (/etc/rc.config.d/evfs中に開始を記述することが可能)
stop 暗号化サブシステムの停止
map 暗号化ボリュームと論理ボリュームの関連付け
unmap 暗号化ボリュームと論理ボリュームの関連付け解除
stat ボリュームへのアクセス統計情報
trace トレースの設定
evfsadmコマンドにstartオプションを付けて以下のように実行することで、EVFSサブシステムを起動できる。
# evfsadm start
EVFS subsystem started
ここで、EVFSサブシステムの動作状況を確認するため、同コマンドにstatオプションを付けて実行する。
# evfsadm stat -a
----- EVFS statistics -----
Total Encrypted Volumes: 0
EVFS Subsystem Status: up
Active Encryption Threads: 1
No encrypted volume is currently configured
このように、初期状態では暗号化ボリュームが作成されていない状態だ。
次に暗号化ボリュームとして利用する論理ボリュームのマッピングを行う。マップすることによって論理ボリュームと関連付けされたEVFS仮想デバイスが作成される。
# evfsadm map /dev/vg01/vol2
Volume "/dev/vg01/vol2" has been successfully mapped to encrypted volume "/dev/evfs/vg01/evol2"
以後、論理ボリュームを暗号化ボリュームとしてアクセスする場合には、このEVFS仮想デバイスを利用することになる。

暗号化鍵の作成

さて、暗号化ボリュームを作成するには、あらかじめ暗号化鍵を用意しておく必要がある。そこでevfspkeyコマンドを用いて、前編で紹介した3種類の鍵のうち、オーナー鍵とリカバリ鍵を作成する。
<表:evfspkeyコマンドのオプション>
オプション  機能
keygen ユーザ鍵(公開・秘密鍵ペア)およびリカバリ鍵の作成
(作成時にパス・フレーズも同時に決定する)
passgen パスフレーズ・ファイルの作成
delete 鍵の削除
lookup 鍵の検索
まずは、rootアカウントにて「root.key」という名称のオーナー鍵を以下の手順で作成する。
# evfspkey keygen -k key
Enter passphrase:
Re-enter passphrase:
Public/Private key pair "root.key" has been successfully generated
このように、鍵の作成時には上記例のようにパスフレーズ(鍵を保護するためのパスワード)の入力が求められる。以上の操作によって、/etc/evfs/pkey/rootフォルダ以下には、公開鍵と秘密鍵のペアが作成される。このペアがオーナー鍵を構成する仕組みである。
作成される公開鍵と秘密鍵のペア
図2:作成される公開鍵と秘密鍵のペア
つづいて、root以外のアカウント(この例ではevfsアカウントを使用)にて、リカバリ鍵を以下の手順で作成する。
# evfspkey keygen -r -k key
Enter recovery passphrase:
Re-enter recovery passphrase:
Public/Private key pair "evfs.key" has been successfully generated
これにより、「evfs.key」というリカバリ鍵が作成される。そして最後に、ユーザ鍵「root.subkey」を作成する。 
# evfspkey keygen -k subkey
Enter passphrase:
Re-enter passphrase:
Public/Private key pair "root.subkey" has been successfully generated
以上で、オーナー鍵root.key、リカバリ鍵evfs.key、ユーザ鍵root.subkeyという3種類の鍵が用意できた。

後半では、これらの鍵を用いて暗号化ボリュームを作成する手順を紹介する。 
トップへ   次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項