hdcryptmgr コマンド

目的

論理ボリューム (LV) の暗号管理を提供します。

構文

hdcryptmgr action [-h] [flags] devicename

説明

IBM® AIX® 7.2 (テクノロジー・レベル 5 適用) 以降、action パラメーターを指定して hdcryptmgr コマンドを実行し、以下のいずれかの操作を行うことができます。

表 1. hdcryptmgr コマンド操作
操作	`action` パラメーター	説明
暗号化設定の表示	showvg	ボリューム・グループのデータ暗号化状況を表示します。
	showlv	論理ボリュームのデータ暗号化状況を表示します。
	showmd	特定デバイスの暗号化メタデータを表示します。
認証方式の制御	authinit	論理ボリュームでのデータ暗号化の 1 次鍵を初期化します。
	authunlock または authunl	論理ボリュームの 1 次鍵をアンロックするために、暗号化論理ボリュームに対する認証を行います。
	authadd	他の認証方式を追加します。
	authcheck または authchk	認証方式の妥当性を検査します。
	authdelete または authdel	認証方式を削除します。
プラットフォーム鍵ストア (PKS) 鍵の管理	pksimport	プラットフォーム鍵ストア (PKS) 鍵をインポートします。
	pksexport	PKS 鍵をエクスポートします。
	pksclean	PKS 鍵を削除します。
	pksshow	PKS 鍵の状況を削除します。
論理ボリュームの暗号化状況の変換	plain2crypt	論理ボリュームでの暗号化を有効にし、論理ボリューム・データを暗号化します。
論理ボリュームの暗号化状況の変換	crypt2plain	論理ボリューム・データを復号し、論理ボリュームでの暗号化を無効にします。

暗号化設定の表示

hdcryptmgr コマンドで以下のアクションを実行して、暗号化設定を表示できます。

showvg

構文:

hdcryptmgr showvg [-h] [device]

指定したボリューム・グループのデータ暗号化状況を表示します。ボリューム・グループを指定しない場合、このコマンドはすべてのボリューム・グループの暗号化状況を表示します。

# hdcryptmgr showvg
VG NAME / ID          ENCRYPTION ENABLED  
EVG1                      yes                 
INSTALLVG                 yes                 
rootvg                    no

showlv

構文:

hdcryptmgr showlv [-h] [-v] device

論理ボリュームのデータ暗号化状況を表示します。 -v フラグを使用して、ボリューム・グループまたは論理ボリュームのデバイス名を指定する必要があります。ボリューム・グループを指定した場合、このコマンドはボリューム・グループ内のすべての論理ボリュームのデータ暗号化状況を表示します。論理ボリュームを指定した場合、このコマンドは指定した論理ボリュームのデータ暗号化状況を表示します。データ暗号化機能がボリューム・グループで有効になっていない場合は、暗号化がボリューム・グループで有効になっていないことを示すメッセージが表示されます。

# hdcryptmgr showlv EVG1
LV NAME    CRYPTO ENABLED    AUTHENTICATED    ENCRYPTION (%)   CONVERSION 
ELV1          yes                no                100              done

showmd

構文:

hdcryptmgr showmd [-h] [-v] device

特定の論理ボリュームまたはボリューム・グループの暗号化メタデータを表示します。ボリューム・グループまたは論理ボリュームのデバイス名を指定する必要があります。ボリューム・グループを指定した場合、指定したボリューム・グループのヘッダーおよびトレーラーの暗号化メタデータのみが表示されます。論理ボリュームを指定した場合、特定の論理ボリュームの暗号化メタデータ全体が表示されます。

# hdcryptmgr showmd ELV1
.....
.....    Wed Jun 17 13:25:46 2020
.....    Device type : LV
.....    Device name : ELV1
.....

=============== B: LV HEADER ================
Version                      : 0
MasterKey                    : Defined
MasterKey size               : 16 bytes
Encryption status            : Fully encrypted
Data crypto algorithm        : AES_XTS
=============== E: LV HEADER ================

============= B: LV AUTH METHODS ============
---- Index #0 -------------------------------
Method defined               : yes
Method name                  : initpwd
Authentication type          : Passphrase
Auto-auth method             : no
MasterKey crypto algorithm   : AES_GCM
---- Index #1 -------------------------------
Method defined               : no
---- Index #2 -------------------------------
Method defined               : no
---- Index #3 -------------------------------
Method defined               : no
---- Index #4 -------------------------------
Method defined               : no
---- Index #5 -------------------------------
Method defined               : no
============= E: LV AUTH METHODS ============

認証方式の制御

論理ボリュームの暗号化機能は、パスフレーズ、鍵ファイル、鍵サーバー管理ソリューション (IBM Security Key Lifecycle Manager など)、およびプラットフォーム鍵ストア (PKS) といった鍵保護方式をサポートします。パスフレーズと鍵ファイルの保護方式では、パスワードまたはパスフレーズを手動で指定することが必要です。鍵サーバー管理と PKS の保護方式は、暗号化論理ボリュームを自動的にアンロックしてアクティブ化するために使用できます。 hdcryptmgr コマンドで以下のアクションを実行して、認証方式を制御できます。

authinit

構文:

hdcryptmgr authinit [-h] [-e algo_detail] [-n name] device

暗号化論理ボリュームの 1 次鍵と暗号化メタデータを初期化します。暗号化論理ボリュームごとに、1 次鍵と暗号化メタデータを一度だけ初期化する必要があります。鍵保護方式から得られた最初のパスフレーズは、LV の暗号化メタデータに追加されます。この action パラメーターには以下のフラグまたは値を指定できます。

-e

データ暗号化のアルゴリズム、モード、および鍵の長さを指定します。 -e フラグの有効な値は以下のとおりです。

prompt: コマンドの実行時に暗号化アルゴリズム詳細の指定を求めるプロンプトを出すことを指定します。
[algorithm]:[b|B][key_len][:w]: 暗号化アルゴリズム詳細を指定します。サポートされるアルゴリズムは、Advanced Encryption Standard XTS モード (AES-XTS) の 128 ビットまたは 256 ビットです。文字 b は鍵のビット (デフォルト)、文字 B は鍵のバイト数、key_len 変数は鍵の長さを示します。 :w パラメーターは、指定した値を持つボリューム・グループのデフォルト値を上書きします。デフォルトでは、ボリューム・グループ (暗号化が有効) を作成する場合、デフォルトの暗号化アルゴリズムは AES-XTS 128 ビットです。

-n

鍵保護方式の名前を指定します。

device

鍵保護方式を初期化する必要のある論理ボリュームのデバイス名を指定します。

authadd

構文:

hdcryptmgr authadd [-h] [-t type [-m method_detail]] [-n name] device

鍵保護方式が初期化済みの暗号化論理ボリュームに、他の鍵保護方式を追加します。暗号化 LV に追加した認証方式をアクティブにするには、暗号化 LV をアンロックする必要があります。この action パラメーターは、以下のフラグまたは値とともに指定できます。

-t

鍵保護タイプを指定します。有効な値は pwd、keyfile、keyserv、および pks です。

-m

以下の詳細を含む、鍵保護方式に関する追加情報を指定します。

認証鍵ファイルへの入力パス
KeySvr Object Data Manager (ODM) クラス内の鍵サーバー ID

-n

鍵保護方式の名前を指定します。

device

鍵保護方式を追加する必要のある論理ボリュームのデバイス名を指定します。

hdcryptmgr authadd コマンドの実行時に必要なフラグまたは値を指定しない場合、それらの指定を求めるプロンプトが出されます。鍵サーバー情報の登録に関する情報については、keysvrmgr コマンドを参照してください。

authdelete または authdel

構文:

hdcryptmgr authdelete [-h] [-t type [-m method_detail]] [-i index] [-n name] [-f] device

初期化された鍵保護方式を削除します。この action パラメーターは、以下のフラグとともに指定できます。

-t

鍵保護タイプを指定します。有効な値は pwd、keyfile、keyserv、および pks です。

-m

以下の詳細を含む、鍵保護方式に関する追加情報を指定します。

認証鍵ファイルへの入力パス
KeySvr ODM クラス内の鍵サーバー ID

-i

削除する必要のある鍵保護方式の索引を指定します。

-n

削除する必要のある鍵保護方式の名前を指定します。

-f

強制オプションを指定します。このフラグは、鍵保護方式を削除するために、認証方式チェックをバイパスします。

device

鍵保護方式を削除する必要のある論理ボリュームのデバイス名を指定します。

一度に削除できる鍵保護方式は 1 つのみです。鍵保護方式の正しい索引または名前がわかっている場合は、-i フラグまたは -n フラグを使用して鍵保護方式を指定できます。 -t フラグと -m フラグを使用して、既存の鍵保護方式のリストをフィルターに掛けることができます。指定した基準に複数のエントリーが一致する場合は、削除する必要のある鍵保護方式の選択を求めるプロンプトが出されます。

-f フラグを使用しない限り、鍵保護方式を削除する前に、鍵保護方式の妥当性が検査されます。選択した鍵保護方式で、LV に対する認証を行う必要があります。鍵保護方式の妥当性を検査できない場合は、鍵保護方式の削除操作をさらに確認する必要があります。

注: authdelete 操作の実行後、論理ボリュームに少なくともパスフレーズ鍵保護方式があることを確認してください。

authunlock または authunl

構文:

hdcryptmgr authunlock [-h] [-t type [-m method_detail]] [-A] device

暗号化 LV に対する認証を行い、暗号化論理ボリュームをアンロックします。この action パラメーターは、以下のフラグまたは値とともに指定できます。

-A

ユーザー入力を必要としない自動鍵保護方式を使用して、暗号化 LV に対する認証を行います。 VG で鍵サーバー管理ソリューションや PKS などの自動鍵保護方式が使用されている場合にのみ、ボリューム・グループ (VG)レベルでこのフラグを使用できます。

-t

鍵保護方式のタイプを指定します。有効な値は pwd、keyfile、keyserv、および pks です。

-m

以下の詳細を含む、鍵保護方式に関する追加情報を指定します。

認証鍵ファイルへの入力パス
KeySvr ODM クラス内の鍵サーバー ID

device

認証が必要な論理ボリュームのデバイス名を指定します。続いて鍵保護方式をアンロックする必要があります。 -A フラグでこの値を指定してください。

LV デバイス名を指定する場合は、-t フラグと -m フラグを使用して鍵保護方式を指定できます。複数の鍵保護方式が基準を満たす場合は、特定の鍵保護方式の選択を求めるプロンプトが出されます。

authcheck または authchk

構文:

hdcryptmgr authcheck [-h]

登録された鍵保護方式の妥当性を検査します。

PKS 鍵の管理

プラットフォーム鍵ストア (PKS) は、IBM Power® System E950 の IBM PowerVM® ファームウェアです。 PKS 鍵保護方式は、暗号化 LV に追加できます。以下の action パラメーターを使用して、認証用の PKS 鍵を管理できます。

pksshow

構文:

hdcryptmgr pksshow [-h]

PKS 鍵に関連付けられた論理ボリューム ID と、PKS 鍵の状況を表示します。 PKS と LV メタデータの両方に保管されている LV ID が表示されます。

# hdcryptmgr pksshow

Status          LVID
PASSWORD        ksvr:lve2_pw:hdcrypt
VALID KEY       00f9fd4a00004c0000000172eafc02ca.1
WRONG KEY       00f9fd4a00004c0000000172eafc02ca.2
OFFLINE LV      00f9fd4a00004c000000017337dc16f3.1
MISSING KEY     00f9fd4a00004c0000000172f0f50638.1

pksclean

構文:

hdcryptmgr pksclean [-h] lvid

無効な鍵を PKS から削除します。削除したい無効な鍵に関連付けられている論理ボリューム ID を指定する必要があります。このコマンドは、hdcryptmgr pksshow コマンド出力に状況 0 としてリストされている鍵の削除に使用してください。

pksexport

構文:

hdcryptmgr pksexport [-h] -p ExportFile device

指定したファイルに PKS 鍵をエクスポートします。 LV デバイス名を指定した場合は、指定した LV に関連付けられている PKS 鍵がエクスポートされます。 VG デバイス名を指定した場合は、ボリューム・グループ内の論理ボリュームに関連付けられているすべての PKS 鍵がエクスポートされます。

pksimport

構文:

hdcryptmgr pksimport [-h] -p ExportFile [device]

指定したファイルに PKS 鍵をインポートします。 LV デバイス名を指定した場合は、指定した LV に関連付けられている PKS 鍵がインポートされます。 VG デバイス名を指定した場合は、ボリューム・グループ内の論理ボリュームに関連付けられているすべての PKS 鍵がインポートされます。デバイス名を指定しない場合は、すべての PKS 鍵がインポートされます。

論理ボリュームの暗号化状況の変換

通常の論理ボリュームを暗号化論理ボリュームに、またその逆に変換することができます。この変換操作は、アクティブでオンラインになっている論理ボリュームに対してのみ実行できます。以下の action パラメーターを使用できます。

plain2crypt

構文:

hdcryptmgr plain2crypt [-h] [-e algo_detail] [-n name] [-f] device

論理ボリュームで暗号化を有効にし、暗号化設定を構成し、LV データを暗号化します。この action パラメーターは、以下のフラグおよび値とともに指定できます。

-e

データ暗号化のアルゴリズム、モード、および鍵の長さを指定します。 -e フラグの有効な値は以下のとおりです。

prompt: コマンドの実行時に暗号化アルゴリズム詳細の指定を求めるプロンプトを出すことを指定します。
[algorithm]:[b|B][key_len][:w]: 暗号化アルゴリズム詳細を指定します。サポートされるアルゴリズムは、Advanced Encryption Standard XTS モード (AES-XTS) の 128 ビットまたは 256 ビットです。文字 b は鍵のビット (デフォルト)、文字 B は鍵のバイト数、key_len 変数は鍵の長さを示します。 :w パラメーターは、指定した値を持つボリューム・グループのデフォルト値を上書きします。デフォルトでは、ボリューム・グループ (暗号化が有効) を作成する場合、デフォルトの暗号化アルゴリズムは AES-XTS 128 ビットです。

-n

鍵保護方式の名前を指定します。

-f

強制オプションを指定します。このフラグは、LV データの暗号化とバックアップを行うことなく、LV 暗号化状況を更新します。このフラグは、新しい論理ボリュームにのみ使用してください。そうでないと、既存データをリカバリーできない場合があります。

device

暗号化状況を変換する必要のある論理ボリュームのデバイス名を指定します。

crypt2plain

構文:

hdcryptmgr crypt2plain [-h] device

指定した論理ボリュームの暗号化データを復号し、指定した論理ボリュームの暗号化状況を無効にします。

暗号化 LV のコマンドと機能の制限

LV が暗号化されている場合にサポートされない論理ボリュームのコマンドまたは機能について詳しくは、『論理ボリュームの暗号化』の『制限 (Limitations)』セクションを参照してください。

例

シナリオ: パスフレーズ鍵保護方式を使用して暗号化論理ボリュームを作成する

暗号化を有効にしてボリューム・グループを作成します。
```
# mkvg -k y hdisk1 hdisk2
vg00
```

サイズが 32 MB の暗号化 LV を作成します。

# mklv -k y vg00 32M
mklv: Please run :
# hdcryptmgr authinit lvname [..] to define LV encryption options.
lv00

1 次鍵とパスフレーズ鍵保護方式を使用して、論理ボリューム上の暗号化構成を初期化します。
```
# hdcryptmgr authinit -n default lv00
Enter Passphrase:
Confirm Passphrase:
Password authentication method added successfully
```

シナリオ: 暗号化 LV でファイルシステムを作成する

暗号化を有効にしたボリューム・グループを作成し、サイズが 32 MB の論理ボリュームを作成し、論理ボリュームの暗号化構成を初期化します。

# mkvg -k y hdisk1 hdisk2
vg00
# mklv -t jfs2 -k y vg00 32M
mklv: Please run :
# hdcryptmgr authinit lvname [..] to define LV encryption options.
fslv00
# hdcryptmgr authinit -n default fslv00
Enter Passphrase:
Confirm Passphrase:
Password authentication method added successfully

通常の論理ボリュームでの作成と同様に、暗号化論理ボリュームでファイルシステムを作成します。

# crfs -v jfs2 -d fslv00 -m /mnt/myfs -A no
File system created successfully.
32560 kilobytes total disk space.
New File System size is 65536

シナリオ: 暗号化が有効になっている論理ボリュームに対して認証を行う

ボリューム・グループがオフに変更されるか、システムが再始動されると、暗号化 LV に対する認証は期限切れになります。そのデータにアクセスするには、暗号化 LV に対する認証を行う必要があります。暗号化 LV の構成済み鍵保護方式を使用してください。暗号化が有効になっている LV を認証するには、以下の手順に従ってください。

VG をオンに変更します。

# varyonvg vg00
varyonvg: 1 encrypted LV defined in VG vg00.
To check if a LV is encrypted and if it is unlocked, use:
        hdcryptmgr showlv vgname    or
        hdcryptmgr showlv lvname
In order to unlock a LV, use:
        hdcryptmgr authunlock lvname

パスフレーズ鍵保護方式を使用して認証を行います。

# hdcryptmgr authunlock -t pwd fslv00
Enter Passphrase:
Password authentication succeeded

ファイル

/usr/sbin/hdcryptmgr: hdcryptmgr コマンドが入っています。