日本-日本語

≫ お問い合わせ

製品とサービス > ソフトウェアとOS > HP- UX Developer Edge

暗号化セキュリティで重要情報を保護・後編

暗号化ボリューム＆ファイルシステムEVFSの効用

≫ HP-UX 11i
Knowledge-on-Demand

≫コラム

≫連載
≫特集、特別企画

ドキュメント/ツール

HPラボ

≫Webキャスト

関連情報

≫HP-UX
- ≫各種ソフトウェア

≫日本HPサイトマップ

EVFSでは暗号化機能を管理するためのコマンド群を用意している。これらのコマンドを利用することで、EVFSサブシステムの管理をはじめ、暗号化鍵の作成や管理、暗号化ボリュームの作成や削除、そして暗号化ファイルシステムの管理を実施することが可能だ。ここでは、EVFSの暗号化機能を利用するまでの操作手順を紹介し、暗号化ボリュームの実際の使い勝手をレポートしたい

暗号化セキュリティで重要情報を保護・後編

≫	EVFSの管理コマンド
≫	暗号化ボリュームの作成

2006年10月

テクニカルライター　吉川和巳

前編で紹介したような強力かつ柔軟な暗号化機能を提供しつつも、コマンドレベルでの操作はとても直感的かつ簡単で、通常の論理ボリュームやファイルシステムとほとんど変わらない使い勝手を提供する。つまりEVFSは、「セキュリティと使いやすさの両立を実現するテクノロジー」と言えるだろう。

	EVFSの管理コマンド

前編でも説明したとおり、EVFSでは暗号化機能を管理するためのツール群を用意している。以下では、この管理コマンドの実行例を紹介しながら、EVFSの利用の実際を解説したい。 EVFSでは、以下の4種類のコマンドを提供している。

evfsadm――EVFSサブシステムの管理
evfspkey――暗号化鍵の管理
evfsvol――暗号化ボリュームの管理
evfsfile――暗号化ファイルシステムの管理(2007年以降に提供予定)

これらのコマンドを利用しながら、以下の図1に示す手順で暗号化ボリュームの管理を進めていく。

図1：EVFS暗号化ボリュームの利用手順

	この一連の手順について、順を追って説明していこう。

	EVFSサブシステムの開始

EVFSのインストールが完了したHP-UXシステムにおいてEVFSの利用を開始するには、まずEVFSサブシステムを起動する。その際に利用するのが、evfsadmコマンドである。同コマンドでは、以下の各オプションが利用可能だ。

＜表：evfsadmコマンドのオプション＞
オプション	機能
start	暗号化サブシステム(EVFS)の開始 (/etc/rc.config.d/evfs中に開始を記述することが可能)
stop	暗号化サブシステムの停止
map	暗号化ボリュームと論理ボリュームの関連付け
unmap	暗号化ボリュームと論理ボリュームの関連付け解除
stat	ボリュームへのアクセス統計情報
trace	トレースの設定

evfsadmコマンドにstartオプションを付けて以下のように実行することで、EVFSサブシステムを起動できる。

# evfsadm start
EVFS subsystem started

ここで、EVFSサブシステムの動作状況を確認するため、同コマンドにstatオプションを付けて実行する。

# evfsadm stat -a
----- EVFS statistics -----
Total Encrypted Volumes: 0
EVFS Subsystem Status: up
Active Encryption Threads: 1
No encrypted volume is currently configured

このように、初期状態では暗号化ボリュームが作成されていない状態だ。

次に暗号化ボリュームとして利用する論理ボリュームのマッピングを行う。マップすることによって論理ボリュームと関連付けされたEVFS仮想デバイスが作成される。

# evfsadm map /dev/vg01/vol2
Volume "/dev/vg01/vol2" has been successfully mapped to encrypted volume "/dev/evfs/vg01/evol2"

以後、論理ボリュームを暗号化ボリュームとしてアクセスする場合には、このEVFS仮想デバイスを利用することになる。

	暗号化鍵の作成

さて、暗号化ボリュームを作成するには、あらかじめ暗号化鍵を用意しておく必要がある。そこでevfspkeyコマンドを用いて、前編で紹介した3種類の鍵のうち、オーナー鍵とリカバリ鍵を作成する。

＜表：evfspkeyコマンドのオプション＞
オプション	機能
keygen	ユーザ鍵(公開・秘密鍵ペア)およびリカバリ鍵の作成 (作成時にパス・フレーズも同時に決定する)
passgen	パスフレーズ・ファイルの作成
delete	鍵の削除
lookup	鍵の検索

まずは、rootアカウントにて｢root.key｣という名称のオーナー鍵を以下の手順で作成する。

# evfspkey keygen -k key
Enter passphrase:
Re-enter passphrase:
Public/Private key pair "root.key" has been successfully generated

このように、鍵の作成時には上記例のようにパスフレーズ(鍵を保護するためのパスワード)の入力が求められる。以上の操作によって、/etc/evfs/pkey/rootフォルダ以下には、公開鍵と秘密鍵のペアが作成される。このペアがオーナー鍵を構成する仕組みである。

図2：作成される公開鍵と秘密鍵のペア

つづいて、root以外のアカウント(この例ではevfsアカウントを使用)にて、リカバリ鍵を以下の手順で作成する。

# evfspkey keygen -r -k key
Enter recovery passphrase:
Re-enter recovery passphrase:
Public/Private key pair "evfs.key" has been successfully generated

これにより、｢evfs.key｣というリカバリ鍵が作成される。そして最後に、ユーザ鍵｢root.subkey｣を作成する。

# evfspkey keygen -k subkey
Enter passphrase:
Re-enter passphrase:
Public/Private key pair "root.subkey" has been successfully generated

以上で、オーナー鍵root.key、リカバリ鍵evfs.key、ユーザ鍵root.subkeyという3種類の鍵が用意できた。

後半では、これらの鍵を用いて暗号化ボリュームを作成する手順を紹介する。