通信を正常に行うためには、連携する全てのマシンで全く同一の暗号化方式と暗号化鍵を利用する事は不可欠です。

検証とリセットが可能な暗号化方式と暗号化鍵について、Windows環境とUnix/Linux環境の両方について説明します。

Release: All Version 

Component:

CA Access Controlには、送信データに暗号化方式を利用する各種コンポーネントがふくまれています。

以下のコンポーネントがあります。

1) selang

2) Policy Manager

3) Selogrd

4) Policy Model のデータ

通常、暗号化方式と暗号化鍵は、 CA Access Control サーバコンポーネントのインストール時に設定されますが、必要に応じて後で変更する事

もできます。

CA Access Control のアップグレードを上書きインストールで行った場合は暗号化鍵の設定の引き継ぎが行われないため、再度、暗号化鍵の設

定を行ってください。

[Windows]

ユーティリティの ChEncKey.exe を使用すると、現在の鍵の値を知らなくてもデフォルトの鍵に戻す事ができます。

以下のレジストリキーを使用すると、現在の暗号化方式を特定し、変更する事ができます。

HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\eTrustAccessControl\Encryption Package

デフォルト値は C:\Program Files\CA\eTrust Access Control\bin\defenc.dll です。

暗号化鍵は、 segrace.exe および SegraceW.exe ファイルにハッシュされます。

[Unix/Linux]

暗号化鍵と暗号化方式をリセットするには、現在の鍵を指定する必要があります。

従って、 CA Access Control のインストール時または鍵の変更後に、現在の鍵を覚えておくことが重要です。

現在の鍵がわからない場合、デフォルトの鍵に戻すことはできません。

現在の鍵を思い出すことができない場合は、 CA Access Control をアンインストールしてから改めて新規インストールを行い、

新しい鍵を指定するしかありません。

本書では、 CA Access Control がデフォルトの暗号化鍵でインストールされているものとします。

デフォルトの鍵が利用されているかどうかを確認するには、以下の手順に従います。

1. 以下のコマンドで CA Access Control を停止します。

secons -s

CA PIMで使用される暗号化鍵と暗号化方式の検証とリセットを行う

方法

Document created by TOMO FUJITA on Feb 26, 2015  Version 1

Like •



 0 

All Places > Japanese Customer Community > CA Privileged Identity Manager Japan > Documents  Edit  Share  Actions

4/10/2019 CA PIMで使用される暗号化鍵と暗号化方式の検証とリセットを行う方法 | CA Communities

https://communities.ca.com/docs/DOC-231152270 2/3

2. 以下のコマンドを発行して、暗号化鍵の変更ユーティリティを起動します。

./sechkey -d -n

eTrustAC sechkey v8.00-0608 (716) - internal key changer

Copyright 2004 Computer Associates International, Inc.

Searching '/opt/CA/eTrustAccessControl/lib/libcrypt' for key...found

Searching '/opt/CA/eTrustAccessControl/bin/seload' for key...found

暗号化鍵をリセットするには、以下の手順に従います。

1. 以下のコマンドで CA Access Control を停止します。

secons -s

2. 以下のコマンドを発行して、暗号化鍵の変更ユーティリティを起動します。

./sechkey -d abcxyz"

eTrustAC sechkey v8.00-0608 (716) - internal key changer

Copyright 2004 Computer Associates International, Inc.

Start decrypting Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file

Nothing to decrypt for Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file

Searching '/opt/CA/eTrustAccessControl/lib/libcrypt' for key...found and replaced.

Searching '/opt/CA/eTrustAccessControl/bin/seload' for key...found and replaced.

注：デフォルト以外の鍵が利用されている場合は、「 -d 」を現在の鍵で置き換えてください。

さらに、暗号化鍵をデフォルト値にリセットするには、以下の手順に従います。

3. 以下のコマンドで CA Access Control を停止します。

secons -s

4. 以下のコマンドを発行して、暗号化鍵の変更ユーティリティを起動します。

./sechkey abcxyz -d

eTrustAC sechkey v8.00-0608 (716) - internal key changer

Copyright 2004 Computer Associates International, Inc.

Start decrypting Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file

Nothing to decrypt for Policy-Model (/opt/CA/eTrustAccessControl/policies/PS_PMDB) update file

Searching '/opt/CA/eTrustAccessControl/lib/libcrypt' for key... found and replaced.

Searching '/opt/CA/eTrustAccessControl/bin/seload' for key... found and replaced.

現在の暗号化方式を確認するには、以下の手順に従います。

以下のコマンドを発行して、ディレクトリ「 libcrypt 」を一覧表示します。

#ls -l /opt/CA/eTrustAccessControl/lib/libcrypt

lrwxrwxrwx 1 root root 52 Oct 6 21:28 /opt/CA/eTrustAccessControl/lib/libcrypt -> /opt/CA/eTrustAccessControl/lib/libscramble.so.800.0

注：リンクされたライブラリにより、暗号化方式が示されます

暗号化方式をリセットするには、以下の手順に従います。

1. 以下のコマンドを発行して、 CAAccess Control を起動します。

seload

2. 暗号化方式の変更を許可するスクリプトを実行します。

../lbin/ChangeEncryptionMethod.sh

このスクリプトにより、現在の暗号化鍵の入力を促すメッセージが表示されます。

デフォルトの鍵を利用している場合は、「 -d 」と入力します。

暗号化鍵は、シンボリックリンクされた libcrypt ライブラリにハッシュされます。