chencryption

パラメーター

-usb enable | disable | validate | newkey

(-keyserver を指定しない場合は必須) USB を有効にするか (または無効にするか)、または暗号鍵を検証するかを指定します。新しい暗号化鍵を作成することもできます。この暗号化鍵も、システムが暗号化鍵を忘れた場合の使用に備えて USB フラッシュ・ドライブに格納されます。

-usb enable

システム上で暗号化機能を有効にします。次に、-usb newkey を指定して新しい鍵を作成します。このコマンドは、システムに暗号化ハードウェアと暗号化ライセンスがある場合 (例えば、status の lsencryption 値が licensed に設定されている場合) に使用します。

-usb disable

システムの暗号化機能を無効にします。暗号鍵が準備されていない場合、この操作は完了し、それ以上のアクションは必要ありません。暗号化鍵が準備されているか、暗号化されたオブジェクトが存在する場合には、このコマンドを使用しないでください。

要確認: これにより、すべての暗号鍵 (USB フラッシュ・ドライブにない) がシステムから除去されます。

-usb validate

USB フラッシュ・ドライブ上に暗号鍵が存在するか検査し、その鍵がシステム暗号鍵に一致するか確認します。このコマンドは、暗号化が有効であり暗号鍵が存在する場合 (例えば、usb_rekey の lsencryption 値が no に設定されている場合) に使用します。

-usb newkey

システムに接続した USB フラッシュ・ドライブ上に新しい暗号鍵を生成します。このコマンドは、鍵素材ストアとして使用できる USB フラッシュ・ドライブの最小数が、システムに接続されている場合 (lsportusb でそのように報告される場合) にのみ使用します。このパラメーターを指定するときは、-key オプションも指定する必要があります。

-keyserver enable | disable | newkey

(-usb を指定しない場合は必須) 鍵サーバーによって管理される暗号鍵が関与する暗号化タスクを指定します。

-keyserver enable

システム上で暗号化機能を有効にします。このコマンドは、システムに暗号化ハードウェアと暗号化ライセンスがある場合 (例えば、keyserver_status の lsencryption 値が licensed に設定されている場合) に使用します。

-keyserver disable

システムの暗号化機能を無効にします。暗号鍵が準備されていない場合、この操作は完了し、それ以上のアクションは必要ありません。暗号化鍵が準備されているか、暗号化されたオブジェクトが存在する場合には、このコマンドを使用しないでください。

-keyserver newkey

システムに接続した 1 次鍵サーバー上に新しい暗号鍵を生成します。このパラメーターを指定する場合は、-key も指定する必要があります。

-key prepare | commit | cancel

(オプション) -usb newkey または -keyserver newkey が指定された場合に、新規暗号鍵や置換 (鍵再設定) 暗号鍵の作成を管理します。以下の 3 つの段階があります。

-key prepare

システム暗号鍵を生成し、それらの鍵をシステムに接続されたすべての USB フラッシュ・ドライブまたは鍵サーバーに書き込みます。アクティブな暗号鍵素材が存在する場合は、少なくとも 1 つの USB フラッシュ・ドライブまたは鍵サーバーに現行鍵素材があることを確認してください。このコマンドは、usb_rekey または keyserver_rekey の lsencryption 値が no または no_key に設定されている場合にのみ使用します。

-key commit

準備された鍵を現行鍵としてコミットします。このコマンドは、usb_rekey または keyserver_rekey の lsencryption 値が prepared に設定されており、USB 暗号鍵の数が少なくとも必要な最小数である場合に使用します。

-key cancel

指定された鍵変更をキャンセルします。このコマンドは、usb_rekey または keyserver_rekey の lsencryption 値が prepared に設定されている場合に使用します。