chencryption

chencryption コマンドは、システムの暗号化状態を管理するために使用します。

構文


>>-chencryption--+---------------------------------------+------>
                 '- -usb--+-enable---------------------+-'   
                          +-disable--------------------+     
                          +-validate-------------------+     
                          '-newkey-- -key--+-prepare-+-'     
                                           +-commit--+       
                                           '-cancel--'       

>--+---------------------------------------------+-------------><
   '- -keyserver--+-enable---------------------+-'   
                  +-disable--------------------+     
                  '-newkey-- -key--+-prepare-+-'     
                                   +-commit--+       
                                   '-cancel--'

パラメーター

-usb enable | disable | validate | newkey

(-keyserver を指定しない場合は必須) USB を有効にするか (または無効にするか)、または暗号鍵を検証するかを指定します。新しい暗号化鍵を作成することもできます。この暗号化鍵も、システムが暗号化鍵を忘れた場合の使用に備えて USB フラッシュ・ドライブに格納されます。

-usb enable: システム上で暗号化機能を有効にします。次に、-usb newkey を指定して新しい鍵を作成します。このコマンドは、システムに暗号化ハードウェアと暗号化ライセンスがある場合 (例えば、status の lsencryption 値が licensed に設定されている場合) に使用します。
-usb disable: システムの暗号化機能を無効にします。暗号鍵が準備されていない場合、この操作は完了し、それ以上のアクションは必要ありません。暗号化鍵が準備されているか、暗号化されたオブジェクトが存在する場合には、このコマンドを使用しないでください。
要確認: これにより、すべての暗号鍵 (USB フラッシュ・ドライブにない) がシステムから除去されます。
-usb validate: USB フラッシュ・ドライブ上に暗号鍵が存在するか検査し、その鍵がシステム暗号鍵に一致するか確認します。このコマンドは、暗号化が有効であり暗号鍵が存在する場合 (例えば、usb_rekey の lsencryption 値が no に設定されている場合) に使用します。
-usb newkey: システムに接続した USB フラッシュ・ドライブ上に新しい暗号鍵を生成します。このコマンドは、鍵素材ストアとして使用できる USB フラッシュ・ドライブの最小数が、システムに接続されている場合 (lsportusb でそのように報告される場合) にのみ使用します。このパラメーターを指定するときは、-key オプションも指定する必要があります。

-keyserver enable | disable | newkey

(-usb を指定しない場合は必須) 鍵サーバーによって管理される暗号鍵が関与する暗号化タスクを指定します。

-keyserver enable: システム上で暗号化機能を有効にします。このコマンドは、システムに暗号化ハードウェアと暗号化ライセンスがある場合 (例えば、keyserver_status の lsencryption 値が licensed に設定されている場合) に使用します。
-keyserver disable: システムの暗号化機能を無効にします。暗号鍵が準備されていない場合、この操作は完了し、それ以上のアクションは必要ありません。暗号化鍵が準備されているか、暗号化されたオブジェクトが存在する場合には、このコマンドを使用しないでください。
-keyserver newkey: システムに接続した 1 次鍵サーバー上に新しい暗号鍵を生成します。このパラメーターを指定する場合は、-key も指定する必要があります。

-key prepare | commit | cancel

(オプション) -usb newkey または -keyserver newkey が指定された場合に、新規暗号鍵や置換 (鍵再設定) 暗号鍵の作成を管理します。以下の 3 つの段階があります。

-key prepare: システム暗号鍵を生成し、それらの鍵をシステムに接続されたすべての USB フラッシュ・ドライブまたは鍵サーバーに書き込みます。アクティブな暗号鍵素材が存在する場合は、少なくとも 1 つの USB フラッシュ・ドライブまたは鍵サーバーに現行鍵素材があることを確認してください。このコマンドは、usb_rekey または keyserver_rekey の lsencryption 値が no または no_key に設定されている場合にのみ使用します。
-key commit: 準備された鍵を現行鍵としてコミットします。このコマンドは、usb_rekey または keyserver_rekey の lsencryption 値が prepared に設定されており、USB 暗号鍵の数が少なくとも必要な最小数である場合に使用します。
-key cancel: 指定された鍵変更をキャンセルします。このコマンドは、usb_rekey または keyserver_rekey の lsencryption 値が prepared に設定されている場合に使用します。

説明

このコマンドは、システムの暗号化状態を管理するために使用します。 -usb または -keyserver のいずれかを指定する必要があります。

このコマンドを使用すると、USB キー暗号化または鍵サーバー暗号化をオンまたはオフにすることができます (ただし、暗号化されたオブジェクトがある場合は、暗号化を無効にすることはできません)。次の 4 つのタイプがあります。

enable。暗号化を有効にします。
disable。暗号化を無効にします。
validate。暗号化を検証します。
注: validate オプションは、鍵サーバー暗号化に適用されません。
newkey。暗号化用に新しいキーを指定します。

また、外部 USB キーまたは鍵サーバー鍵素材の鍵再設定を実行することもできます。これは、次の 3 段階に分かれています。

prepare: 新しい鍵を生成し、適用時に暗号鍵を変更するようにシステムをセットアップします。
commit: 新しい鍵を適用 (および鍵素材をコピー) します。
cancel。prepare 時に実行された鍵のセットアップをロールバックし、鍵再設定要求を取り消します。

import モードのクラウド・アカウントの一部である鍵プロバイダーに対して、有効化、無効化、または鍵再設定の操作を実行することはできません。

USB フラッシュ・ドライブ暗号化と鍵サーバー暗号化を同じシステム上で並行して使用できます。ただし、これらの暗号化方式を個別に構成および管理する必要があります。

呼び出し例

chencryption -usb enable

結果出力:

No feedback

呼び出し例

chencryption -usb newkey -key prepare

結果出力:

No feedback

呼び出し例

chencryption -usb newkey -key commit

結果出力:

No feedback

呼び出し例

chencryption -keyserver enable

結果出力:

chencryption -keyserver newkey -key prepare

呼び出し例

chencryption -keyserver newkey -key commit

結果出力:

No feedback