Rechaveando um sistema ativado para criptografia usando uma unidade flash USB

Se você tiver configurado a criptografia com unidades flash USB, será possível criar novas chaves e armazená-las em unidades flash USB. Rechaveamento é o processo de criação de uma nova chave para o sistema. Para criar uma nova chave, a criptografia deve ser ativada no sistema; no entanto, a operação de rechaveamento funcionará se houver objetos criptografados ou não. Se você tiver ambos os métodos de criptografia configurados no sistema, rechaveie completamente um método antes de rechavear o outro.

Antes de criar um novo chave, assegure-se de que pelo menos uma porta USB contenha uma unidade flash USB que contenha a atual chave. Durante o processo de rechaveamento, uma nova chave será gerada e copiada para as unidades flash USB. A nova chave é, então, usada, em vez da chave atual. A operação de rechaveamento falha, a menos que pelo menos uma unidade flash USB contenha a chave atual. Para rechavear o sistema são necessárias pelo menos três unidades flash USB para armazenar o material de chave copiado.

Usando a GUI de gerenciamento

Para rechavear o sistema na GUI de gerenciamento, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia. Verifique se a chave de criptografia está acessível, o que significa que pelo menos uma das unidades flash USB contém a chave atual. Insira as outras unidades flash USB nas portas restantes no nó. As portas disponíveis são exibidas para indicar quais portas precisam de unidades flash USB.
  2. Expanda Unidades flash USB para exibir todas as unidades flash USB detectadas no sistema e selecione Rechavear.
  3. Quando o sistema detecta o número necessário de unidades flash USB com pelo menos uma unidade que contenha uma chave existente, a nova chave é gerada e copiada para as unidades flash USB. Clique em Confirmar após a chave ser criada para concluir a operação de rechaveamento. Se ocorrerem erros durante o processo de rechaveamento, as mensagens de status exibirão os problemas com a cópia ou a criação de uma nova chave. Por exemplo, se o número mínimo de unidades USB for inserido, mas nenhuma delas tiver uma chave de criptografia existente, a operação de rechaveamento falhará. Para determinar e corrigir outros possíveis erros, selecione Monitoramento > Eventos.
    Nota: Se você tiver servidores de chaves configurados além das unidades flash USB, agora será possível rechavear o servidor de chaves.

Usando a interface da linha de comandos

Para rechavear o sistema na interface da linha de comandos, conclua estas etapas:
  1. Verifique se a criptografia está ativada no sistema inserindo este comando:
    lsencryption

    Assegure-se de que o status indica que a criptografia está ativada.

  2. Depois de verificar se a criptografia está ativada, você precisa preparar o sistema para rechavear as chaves de criptografia que estão sendo usadas atualmente no sistema. Verifique se pelo menos uma das unidades flash USB que contêm a chave atual esteja inserida no nó de configuração. A chave atual é necessária; caso contrário, o processo de rechaveamento falhará. Insira outras unidades flash USB nas portas USB restantes na parte traseira do sistema. Para preparar a operação de rechaveamento e copiar a nova chave em todas as unidades flash USB inseridas no sistema, insira o comando a seguir:
    chencryption -usb newkey -key prepare

    Esse comando confirma que pelo menos uma das unidades flash USB contém a chave de criptografia atual. Ele também gera uma nova chave de criptografia para o sistema e copia a chave para todas as unidades flash USB que são inseridas no sistema. Opcionalmente, é possível fazer cópias adicionais das chaves de criptografia para backups, se as unidades flash USB forem perdidas ou danificadas.

  3. Para confirmar a chave, insira o comando a seguir:
    chencryption
-usb newkey -key commit

    Esse comando torna a chave preparada a chave atual e armazena os valores da chave nas unidades flash USB.

  4. Verifique se a nova chave é confirmada, inserindo o comando a seguir:
    lsencryption

    Assegure-se de que o valor no parâmetro usb_rekey seja no e de que usb_key_copies tenha o número mínimo necessário de unidades flash USB com cópias das chaves. O sistema precisa de pelo menos três unidades flash USB, cada uma com uma cópia da chave. É recomendável que cópias adicionais das chaves sejam feitas e armazenadas com segurança.