背景
暗号化
X.509 証明書と公開鍵の基礎
X.509
X.509とはITU-T(国際通信連合(ITU)の電気通信標準化部門)の規格であり、公開鍵暗号方式に基づいて認証局によって発行される公開鍵証明書の標準形式などを定めています。
2018年現在はX.509v3が広く利用されています。
暗号化、署名および認証のX.509 証明書
暗号化ファイルシステム
openssl
| コマンド |
機能 |
| ca |
CA(認証局)の管理 |
| dgst |
メッセージダイジェストの計算 |
| genrsa |
RSA暗号化方式の秘密鍵を生成 |
| rsa |
RSA暗号方式の鍵の管理 |
| X.509 |
X.509証明書の管理 |
| c_client |
SSL/TLSプロトコルを使用したサーバに接続 |
| s_server |
SSL/TLSプロトコルを使用してデータを受け取るサーバとして動作 |
| ciphers |
使用可能な暗号スイートを一覧表示 |
| verify |
X.509証明書の検証 |
cryptsetup
| コマンド |
機能 |
| open --type |
マッピングとデバイスを指定して暗号化マッピングを作成 |
| close/remove |
暗号化マッピングを削除 |
| resize |
暗号化マッピングのサイズ変更 |
| luksFormat |
デバイスをLUKSパーティションとして初期化 |
| luksOpen |
デバイスとLUKSパーティション名を指定しLUKSパーティションを開く |
| luksClose |
LUKSパーティションを閉じる |
| luksAddKey |
LUKSパーティションにパスフレーズを追加 |
| luksKillSlot/luksDelKey |
LUKSパーティションに設定したパスフレーズを削除 |
| luksDump |
LUKSパーティションの状態表示 |
| isLuks |
デバイスがLUKSパーティションの場合0で偽なら0以外 |
eCryptfs
| コマンド |
機能 |
| ecryptfs-setup-private |
暗号化ディレクトリのセットアップ |
| ecryptfs-migrate-home |
ユーザホームディレクトリの暗号化 |
| ecryptfs-mount-private |
暗号化ディレクトリのマウント |
| ecryptfs-umount-private |
暗号化ディレクトリのアンマウント |
| ecryptfs-unwarp-passphrase |
パスフレーズの複合 |
ディレクトリ構造
$HOME
├ Private/ ... 復号されたデータを含むマウントポイント
├ .ecryptfs/
│ ├ Private.mnt ... 暗号化ディレクトリのマウントポイントが書かれたファイル
│ ├ Private.sig ... 暗号化パスフレーズの署名ファイル
│ ├ wrapped-passphrase ... マウント用の暗号化パスフレーズ
│ ├ auto-mount ... 自動マウント用の空ファイル
│ └ auto-umount ... 自動アンマウント用の空ファイル
└ .Private/ ... 暗号化されたデータを含むディレクトリ
DNS と暗号化
DNSSEC関連の主要コマンド
| コマンド |
機能 |
| dnssec-keygen |
DNSSECの要であるZSKとKSKを生成する |
| dnssec-signzone |
ゾーンファイルへの署名を行う |
| dnssec-settime |
鍵ファイルのメタデータである時間の表示・変更を行う |
| dnssec-dsformkey |
鍵ファイルから上位サーバに登録するDSレコードを生成する |
| openssl |
TLSAレコードなどの検証を行う |
| rndc |
BINDの制御・設定ツール |
| delv |
BINDの検証・解析ツール |
ホストセキュリティ
アクセス制御
ネットワークセキュリティ
