chencryption

Use o comando chencryption para gerenciar o estado de criptografia do sistema.

Sintaxe

Ler diagrama de sintaxeManter visual do diagrama de sintaxe chencryption -usbenabledisablevalidatenewkey-keypreparecommitcancel-keyserverenabledisablenewkey-keypreparecommitcancel

Parâmetros

-usb enable | disable | validate | newkey
(Obrigatório se você não especificar -keyserver) Especifica se a criptografia de USB está ativada (ou desativada) ou as chaves de criptografia são validadas. Também é possível criar novas chaves de criptografia que também são armazenadas em unidades flash Universal Serial Bus (USB) para uso se o sistema esquecer as chaves de criptografia.
-usb enable
Ativa o recurso de criptografia no sistema. Em seguida, especifique -usb newkey para criar novas chaves. Utilize este comando quando o sistema tiver hardware de criptografia e licenças de criptografia (por exemplo, o valor de lsencryption para o status é configurado como licensed).
-usb disable
Desativa o recurso de criptografia do sistema. Se nenhuma chave de criptografia estiver preparada, essa operação será concluída e nenhuma ação adicional será necessária. Não use esse comando se uma chave de criptografia estiver preparada ou objetos criptografados existirem.
Lembre-se: Isso remove todas as chaves de criptografia (que não estão na unidade flash USB) do sistema.
-usb validate
Verifique se as chaves de criptografia estão presentes na unidade flash USB e assegure-se de que as chaves correspondam às chaves de criptografia do sistema. Use esse comando quando a criptografia estiver ativada e as chaves de criptografia existirem (por exemplo, o valor lsencryption para usb_rekey é configurado como no).
-usb newkey
Gera uma nova chave de criptografia em uma unidade flash USB que estiver conectada ao sistema. Use este comando apenas se o número mínimo de unidades flash USB que podem ser usadas como armazenamentos de materiais de chave estiver conectado ao sistema (conforme relatado por lsportusb). Ao especificar este parâmetro, a opção -key também deve ser fornecida.
-keyserver enable | disable | newkey
(Obrigatório se você não especificar -usb) Especifica a tarefa de criptografia que envolve chaves de criptografia que são gerenciadas por servidores de chaves.
-keyserver enable
Ativa o recurso de criptografia no sistema. Utilize este comando quando o sistema tiver hardware de criptografia e licenças de criptografia (por exemplo, o valor de lsencryption para o keyserver_status é configurado como licensed).
-keyserver disable
Desativa o recurso de criptografia do sistema. Se nenhuma chave de criptografia estiver preparada, esta operação será concluída e nenhuma ação adicional será necessária. Não use esse comando se uma chave de criptografia estiver preparada ou objetos criptografados existirem.
-keyserver newkey
Gera uma nova chave de criptografia no servidor de chaves primário que está conectado ao sistema. Você também deve especificar -key quando especificar este parâmetro.
-key prepare | commit | cancel
(Opcional) Gerencia a criação de uma chave de criptografia nova ou de substituição (rechaveamento) quando -usb newkey ou -keyserver newkey é especificado. Há três estágios:
-key prepare
Gera chaves de criptografia do sistema e grava essas chaves em todas as unidades flash USB ou servidores de chaves conectados ao sistema. Se houver um material de chave de criptografia ativo, confirme se pelo menos uma unidade flash USB ou servidor de chaves possui o material chave atual. Use esse comando somente quando o valor lsencryption para usb_rekey ou keyserver_rekey estiver configurado como no ou no_key.
-key commit
Confirma a chave preparada como a chave atual. Use esse comando quando o valor lsencryption para usb_rekey ou keyserver_rekey estiver configurado como prepared e o número de chaves de criptografia USB for pelo menos o número mínimo necessário.
-key cancel
Cancela qualquer mudança na chave especificada. Use esse comando quando o valor de lsencryption para usb_rekey ou keyserver_rekey estiver configurado como prepared.

Descrição

Use esse comando para gerenciar o estado de criptografia do sistema. Deve-se especificar -usb ou -keyserver.

É possível usar esse comando para ativar ou desativar a criptografia de chave USB ou a criptografia do servidor de chaves (mas não será possível desativar a criptografia se houver quaisquer objetos criptografados). Há quatro tipos:
  • enable, que ativa a criptografia
  • disable, que desativa a criptografia
  • validate, que valida a criptografia
    Nota: A opção validate não se aplica à criptografia do servidor de chaves.
  • newkey, que especifica uma nova chave para criptografia
Também é possível executar um rechaveamento da chave USB externa ou do material de chave do servidor de chaves, que é dividido em três estágios:
  • prepare, que gera novas chaves e configura o sistema para alterar chaves de criptografia durante a aplicação
  • commit, que inclui a aplicação de novas chaves (e cópia do material de chave)
  • cancel, que retrocede a configuração da chave que é executada durante o prepare e cancela a solicitação de rechaveamento

Não é possível executar uma operação de ativação, desativação ou rechaveamento para um provedor de chaves que seja parte de uma conta de nuvem que esteja no modo import.

É possível usar a unidade flash USB e a criptografia do servidor de chaves em paralelo no mesmo sistema. Entretanto, deve-se configurar e administrar esses métodos de criptografia de forma independente.

Um Exemplo de Chamada

chencryption -usb enable

A saída do resultado:

Sem feedback

Um Exemplo de Chamada

chencryption -usb newkey -key prepare

A saída do resultado:

Sem feedback

Um Exemplo de Chamada

chencryption -usb newkey -key commit

A saída do resultado:

Sem feedback

Um exemplo de chamada

chencryption -keyserver enable

A saída resultante:

chencryption -keyserver newkey -key prepare

Um exemplo de chamada

chencryption -keyserver newkey -key commit

A saída resultante:

Sem feedback