Jump to content 日本-日本語
日本HPホーム 製品 & サービス サポート & ドライバー ソリューション ご購入方法
≫  お問い合わせ

製品とサービス  >  ソフトウェアとOS  >  HP- UX Developer Edge

暗号化セキュリティで重要情報を保護・後編

暗号化ボリューム&ファイルシステムEVFSの効用

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
暗号化セキュリティで重要情報を保護・後編

暗号化ボリュームの作成

つづいては、暗号化ボリュームを作成する。そのために用いるのは、evfsvolコマンドである。
暗号化セキュリティで重要情報を保護・後編
EVFSの管理コマンド
暗号化ボリュームの作成
EVFS1.0のダウンロード

<表:evfsvolコマンドのオプション>
オプション  機能
create/destroy 暗号化ボリュームの作成および削除
(作成時、所有者となるユーザと鍵を指定する)
enable/disable 暗号化ボリュームの利用開始・停止
add/delete 利用を許可するユーザ鍵の追加/削除、非常時のリカバリ鍵の追加/削除
assign 所有者の変更(リカバリ鍵を設定してある必要がある)
check ボリュームのサニティチェックおよび修復
export/import ボリュームのエクスポート、インポート
scan 暗号化ボリュームの検出
まずは、同コマンドのcreateオプションを用いて暗号化ボリュームを作成する。ここでは、作成時に指定するオーナー鍵として、先ほど用意した「key」を指定し、作成する論理ボリューム名として「evol2」を指定する。また、同鍵へのアクセスに必要なパスフレーズも合わせて入力する。
# evfsvol create -k key /dev/evfs/vg01/evol2
Enter owner passphrase:
Encrypted volume "/dev/evfs/vg01/evol2" has been successfully created
これで暗号化ボリュームevol2が作成された。evfsvolコマンドとdisplayオプションを用いることにより、作成したボリュームの情報を確認することができる。
# evfsvol display /dev/evfs/vg01/evol2
Encrypted Volume Name: /dev/evfs/vg01/evol2
Mapped Volume Name: /dev/vg01/vol2
Encrypted Volume State: disabled ← ボリュームは停止中
EMD Size (Kbytes): 520 ← メタデータ領域
Max User Envelopes: 1024
Data Encryption Cipher: aes-128-cbc ← 暗号化強度 128ビット
Digest: sha1
Owner Key ID: root.key ← オーナー鍵
Recovery Agent Key IDs:
Total Recovery Agent Keys: 0
User Key IDs:
Total User Keys: 0
つづいて、以下の手順により、作成したボリュームevol2 にリカバリ鍵を登録する。ここではオーナー鍵のパスフレーズの入力が求められる。
# evfsvol add -r -k key /dev/evfs/vg01/evol2
Enter owner passphrase:
Key "evfs.key" has been successfully added to encrypted volume "/dev/evfs/vg01/evol2"
また同様にして、ボリュームevol2 にユーザ鍵を登録する。
# evfsvol add -k subkey /dev/evfs/vg01/evol2 ← ユーザ鍵の登録
Enter owner passphrase:
Key "root.subkey" has been successfully added to encrypted volume "/dev/evfs/vg01/evol2"
以上で、暗号化ボリュームの作成手順が完了したことになる。

EVFSの機能を試す

最後に、この暗号化ボリューム上にファイルシステムを作成し、その機能を実際にテストする手順を説明する。まずは、暗号化ボリュームの有効化を以下のコマンドで行う。
# evfsvol enable -k key /dev/evfs/vg01/evol2
Enter user passphrase:
Encrypted volume "/dev/evfs/vg01/evol2" has been successfully enabled
つづいて、このボリュームevol2上に、通常の手順でVxFSファイルシステムを作成し、マウントする。
# newfs -F vxfs /dev/evfs/vg01/revol2
# mount /dev/evfs/vg01/evol2 /mnt2
これで暗号化ボリューム上に作成されたファイルシステムを/mnt2フォルダにて利用する準備が整ったことになる。ここで、テスト用のメール文書mail.txtを用意し、別途作成した通常ボリューム上の/mnt1フォルダと、暗号化された/mnt2フォルダの両方にコピーする。
# cp mail.txt /mnt1/mail.txt
# cp mail.txt /mnt2/mail.txt
# diff -c /mnt1/mail.txt /mnt2/mail.txt
No differences encountered
diffコマンドの実行結果から分かるように、表面上この2つのファイルに内容的な違いはない。しかし、両者をいったんアンマウントし、ボリューム内容を直接ダンプ出力すると、通常ボリュームの方はファイル内容を簡単に読めてしまうのがわかる。
# strings /dev/vg01/vol1 | grep -iE 'confidential'
CONFIDENTIAL
This email and any files transmitted with it are confidential and
<以下略>
これに対し、暗号化ボリュームではファイル内容が暗号化されているため、同様の操作を行っても内容が漏えいすることはない。
# strings /dev/vg01/vol2 | grep -iE 'confidential'
#
つまり、たとえrootアカウントを有する管理者であっても、オーナー鍵またはユーザ鍵を持ち、かつパスフレーズを知るものでなければ、暗号化ボリュームをマウントしてその内容にアクセスできないのである。
 
以上、今回は暗号化ボリューム&ファイルシステム「EVFS」の特徴を概観した。EVFSによるデータの暗号化によって、これまで限られたサーバやストレージ上にしか置けなかった機密性の高いデータであっても、SANや仮想化環境といったあらゆる場所に保管できるようになる。つまりEVFSは、「セキュリティと使いやすさの両立を実現するテクノロジー」と言えるだろう。
トップへ 戻る    

その他のコラム(特集)もお読み下さい

 
 

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項 ウェブマスターに連絡