CA PIMで使用される暗号化鍵と暗号化方式の検証とリセットを行う方法

Document created by Tomo_Fujita Employee on Feb 26, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000095

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:All

 

◆ 内容

通信を正常に行うためには、連携する全てのマシンで全く同一の暗号化方式と暗号化鍵を利用する事は不可欠です。
検証とリセットが可能な暗号化方式と暗号化鍵について、Windows環境とUnix/Linux環境の両方について説明します。

 

◆ 詳細内容

CA Access Controlには、送信データに暗号化方式を利用する各種コンポーネントがふくまれています。
以下のコンポーネントがあります。

1) selang
2) Policy Manager
3) Selogrd
4) Policy Model のデータ

通常、暗号化方式と暗号化鍵は、 CA Access Control サーバコンポーネントのインストール時に設定されますが、必要に応じて後で変更する事もできます。
CA Access Control のアップグレードを上書きインストールで行った場合は暗号化鍵の設定の引き継ぎが行われないため、再度、暗号化鍵の設定を行ってください。

 

[Windows]
ユーティリティの ChEncKey.exe を使用すると、現在の鍵の値を知らなくてもデフォルトの鍵に戻す事ができます。
以下のレジストリキーを使用すると、現在の暗号化方式を特定し、変更する事ができます。

HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\eTrustAccessControl\Encryption Package

デフォルト値は C:\Program Files\CA\eTrust Access Control\bin\defenc.dll です。
暗号化鍵は、 segrace.exe および SegraceW.exe ファイルにハッシュされます。

 

[Unix/Linux]
暗号化鍵と暗号化方式をリセットするには、現在の鍵を指定する必要があります。

従って、 CA Access Control のインストール時または鍵の変更後に、現在の鍵を覚えておくことが重要です。
現在の鍵がわからない場合、デフォルトの鍵に戻すことはできません。
現在の鍵を思い出すことができない場合は、 CA Access Control をアンインストールしてから改めて新規インストールを行い、

新しい鍵を指定するしかありません。
本書では、 CA Access Control がデフォルトの暗号化鍵でインストールされているものとします。

 

デフォルトの鍵が利用されているかどうかを確認するには、以下の手順に従います。

  1. 以下のコマンドで CA Access Control を停止します。
    secons -s
  2. 以下のコマンドを発行して、暗号化鍵の変更ユーティリティを起動します。
    ./sechkey -d -n
    eTrustAC sechkey v8.00-0608 (716) - internal key changer
    Copyright 2004 Computer Associates International, Inc.
    Searching '/opt/CA/eTrustAccessControl/lib/libcrypt' for key...found
    Searching '/opt/CA/eTrustAccessControl/bin/seload' for key...found

 

暗号化鍵をリセットするには、以下の手順に従います。

1. 以下のコマンドで CA Access Control を停止します。
secons -s

2. 以下のコマンドを発行して、暗号化鍵の変更ユーティリティを起動します。
./sechkey -d abcxyz"
eTrustAC sechkey v8.00-0608 (716) - internal key changer
Copyright 2004 Computer Associates International, Inc.
Start decrypting Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file
Nothing to decrypt for Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file
Searching '/opt/CA/eTrustAccessControl/lib/libcrypt' for key...found and replaced.
Searching '/opt/CA/eTrustAccessControl/bin/seload' for key...found and replaced.
注:デフォルト以外の鍵が利用されている場合は、「 -d 」を現在の鍵で置き換えてください。

 

さらに、暗号化鍵をデフォルト値にリセットするには、以下の手順に従います。

3. 以下のコマンドで CA Access Control を停止します。
secons -s

4. 以下のコマンドを発行して、暗号化鍵の変更ユーティリティを起動します。
./sechkey abcxyz -d
eTrustAC sechkey v8.00-0608 (716) - internal key changer
Copyright 2004 Computer Associates International, Inc.
Start decrypting Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file
Nothing to decrypt for Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file
Searching '/opt/CA/eTrustAccessControl/lib/libcrypt' for key... found and replaced.
Searching '/opt/CA/eTrustAccessControl/bin/seload' for key... found and replaced.

 

現在の暗号化方式を確認するには、以下の手順に従います。
以下のコマンドを発行して、ディレクトリ「 libcrypt 」を一覧表示します。
#ls -l /opt/CA/eTrustAccessControl/lib/libcrypt
lrwxrwxrwx 1 root root 52 Oct 6 21:28 /opt/CA/eTrustAccessControl/lib/libcrypt -> /opt/CA/eTrustAccessControl/lib/libscramble.so.800.0
注:リンクされたライブラリにより、暗号化方式が示されます

 

暗号化方式をリセットするには、以下の手順に従います。

  1. 以下のコマンドを発行して、 CAAccess Control を起動します。
    seload
  2. 暗号化方式の変更を許可するスクリプトを実行します。
    ../lbin/ChangeEncryptionMethod.sh
    このスクリプトにより、現在の暗号化鍵の入力を促すメッセージが表示されます。
    デフォルトの鍵を利用している場合は、「 -d 」と入力します。

暗号化鍵は、シンボリックリンクされた libcrypt ライブラリにハッシュされます。

 

以上


このドキュメントは米国サポートサイトに掲載されているナレッジベース: TEC411470 を翻訳し、加筆したものです。

TITLE : How To verify and reset the Encryption Key and Encryption method utilized by eTrust Access Control for Windows and Unix?

 

Attachments

    Outcomes