Замечания о хранилище ключей, Хранилище ключей jceks – Инструкция по эксплуатации Dell PowerVault ML6000

Dell

™

PowerVault

™

ML6000. Обновления встроенного ПО можно загрузить с сайта

http://support.dell.com.

Ленточный накопитель

Убедитесь, что на ленточных накопителях LTO 4 и LTO 5 установлена последняя
версия встроенного ПО. Обновления встроенного ПО можно загрузить с сайта
http://support.dell.com.

Замечания о хранилище ключей

Невозможно переоценить важность обеспечения сохранности данных
хранилища ключей. Без доступа к хранилищу ключей не удастся расшифровать
зашифрованные данные на магнитной ленте. Внимательно прочитайте
следующие разделы, чтобы ознакомиться с методами защиты хранилища
ключей.

Хранилище ключей JCEKS

EKM поддерживает хранилища ключей формата JCEKS.

JCEKS (файловая подсистема Unix System Services) – это файловое хранилище
ключей, которое поддерживается на всех платформах, на которых выполняется EKM.
Это упрощает копирование содержимого такого хранилища ключей при выполнении
резервного копирования и восстановления, а также позволяет поддерживать две
синхронизированных копии EKM для переключения в случае отказа. JCEKS
обеспечивает безопасность за счет защиты содержимого хранилища ключей паролем,
а также обладает относительно высокой производительностью. Возможно
использование таких методов копирования файлов, как передача по протоколу FTP.

Ключи шифрования и ленточные накопители LTO 4 и LTO 5

Dell Encryption Key Manager и поддерживаемые этим продуктом накопители на
магнитной ленте используют для шифрования данных симметричные 256-разрядные
ключи AES. В данном разделе содержатся необходимые сведения об этих ключах и
сертификатах.

При выполнении операций шифрования на накопителях LTO 4 или LTO 5 для кассет
LTO приложение Encryption Key Manager использует только симметричные
256-разрядные ключи AES.

Когда накопитель LTO 4 или LTO 5 запрашивает ключ, Encryption Key Manager
использует псевдоним, указанный для этого накопителя на магнитной ленте. Если
для данного накопителя на магнитной ленте псевдоним не был задан, используется
псевдоним из группы ключей, списка псевдонимов ключей или диапазона значений
псевдонимов ключей, заданного свойством конфигурации symmetricKeySet. Если
псевдоним накопителя на магнитной ленте отсутствует, псевдонимы выбираются из
других групп по очереди, чтобы обеспечить равномерное распределение ключей.

Выбранный псевдоним связывается с симметричным ключом шифрования данных
(DK), предварительно загруженным в хранилище ключей. Encryption Key Manager
посылает этот ключ DK, свернутый с помощью другого ключа, который может быть
дешифрован накопителем на магнитной ленте, на накопитель LTO 4 или LTO 5 для
шифрования данных. Ключ DK не передается по протоколу TCP/IP в
незашифрованном виде. Выбранный псевдоним также преобразуется в объект под
названием "идентификатор ключа шифрования данных" (Data Key identifier, DKi),

2-4

Руководство пользователя Dell Encryption Key Manager