インターシステムズは、Caché 5.0 における Caché データベース・ファイルの暗号化のテストを行ってきました。以下のトピックでは、暗号化に関する要件、推奨事項、および手順を、テスト済みのオペレーティング・システムごとに説明します。
Microsoft Windows での Caché ファイルの暗号化
ここでは、Microsoft Windows プラットフォームでの Caché ファイルの暗号化に関する基本的な手順を説明します。このトピックは以下のセクションで構成されます。
要件および推奨事項
要件 :
推奨事項 :
暗号化の手順
Microsoft Windows で Caché データベース (cache.dat) ファイルを適切に暗号化するには、以下の手順を実行します。
  1. Caché 5.0 をインストールします。具体的な手順は、"Caché インストール・ガイド Windows 用" を参照してください。
  2. データベースを定義して、Caché インストールの Bin および Mgr ディレクトリのファイルとは別の場所に配置します。詳細は、"Caché システム管理ガイド" の "Caché の構成" の章の "データベースの構成" を参照してください。
  3. Caché をシャットダウンします。
  4. Caché キューブを終了し、IIS Web サーバと、共有違反を生じる可能性がある他のすべてのプロセスをシャットダウンします。
  5. Web サーバを起動します。
  6. Caché を起動します。
ファイルの暗号化が適切に設定されていない場合は、Caché の起動時にエラーが発生し、ccontrol start コマンドは失敗します。エラー情報は、console.log を参照してください。
Caché コントローラ・サービスの更新
Caché が適切に起動するよう Caché コントローラ・サービスを編集します。
  1. Windows コントロール パネルで、[管理ツール] サブメニューの [サービス] をクリックします。
  2. マシン上の各 Caché インスタンスには、それぞれ Caché Controller for <configname> (例えば、Caché Controller for CACHE) という名前のサービスがあります。この名前を右クリックして、ショートカット・メニューの [プロパティ] をクリックします。
  3. [ログオン] タブをクリックし、[Log on as] プロパティが Caché をインストールしたアカウントと同じになるように変更します。[OK] をクリックします。
Caché データベース・ファイルの暗号化
Windows エクスプローラで、暗号化するフォルダごとに次の手順を実行します。
  1. 適切なフォルダを右クリックし、ショートカット・メニューの [プロパティ] をクリックします。
  2. [全般] タブで [詳細] をクリックして、[属性の詳細] ダイアログ・ボックスを表示します。
  3. [内容を暗号化してデータをセキュリティで保護する] チェック・ボックスにチェックを付け、[OK] をクリックします。暗号化と圧縮は同時に選択できません。
  4. 暗号化するファイルを含むフォルダごとに、ここまでの手順を繰り返します。
ファイルの暗号化は、Caché に対して透過的です。暗号化を解除するには、同じ手順を実行して、暗号化を指定するチェック・ボックスのチェックを外します。
関連資料
Windows 暗号化ファイル・システム (EFS) とその関連トピックの追加情報は、Microsoft 社の Web サイト www.microsoft.com にある以下の Microsoft ドキュメントを参照してください。
Red Hat Linux での Caché ファイルの暗号化
ここでは、ループバック・デバイスを使用する Red Hat Linux プラットフォームでの Caché ファイルの暗号化に関する基本的な手順を説明します。このトピックは以下のセクションで構成されます。
要件および推奨事項
要件
推奨事項
暗号化の手順
Loop-AES は優れた機能を提供する Linux 用のパッケージで、ファイル・システムとスワップの高速かつ透過的な暗号化を実現します。以下のセクションでは、このタイプの暗号化の設定に際して、インターシステムズが推奨する手順を説明します。
ユーザ・スペース・ツールの変更
Loop-AES 機能を使用するには、最新の Linux パッチ・ファイルを適用し、mount および losetup コマンドに代わるユーザ・スペース・ツールを導入する必要があります。
  1. http://loop-aes.sourceforge.net/ から loop-AES-latest を取得します。
    Note:
    この例では、loop-AES-laters.tar.gz を使用しています。
  2. util-linux-*.diff パッチ・ファイルを抽出し、そのバージョン番号を書き留めます。
    Note:
    この例では、util-linux バージョン 2.12a を使用しています。
  3. 上記のパッチ・ファイル・バージョンと一致する util-linux パッケージを、ftp://ftp.kernel.org/pub/linux/utils/util-linux/ から取得します。
    Note:
    この例では、util-linux-2.12a.tar.gz を使用しています。
  4. util-linux パッケージを解凍します。
  5. util-linux-*.diff パッチを適用します。
  6. INSTALL ファイルに記載されている、ビルドとインストールに関する注意事項に目を通します。
  7. パッケージを構成およびメイクします。インストールはしないでください。
  8. 新しい losetupmount プログラムを適当なディレクトリにコピーします。この例では、/usr/local/bin を使用しています。
    Caution:
    /bin/mount または /sbin/losetup の上書きは行わないでください。上書きすると、システムがブートしなくなる場合があります。
    次は、手順 4 から 8 までを実行するコマンド・セットの例です。
      tar zxvf util-linux-2.12a.tar.gz
      cd util-linux-2.12a
      patch -p1 < ../loop-AES-v2.1c/util-linux-2.12a.diff
      more INSTALL
      ./configure
      make
      cd mount
      cp -a losetup /usr/local/bin
      cp -a mount /usr/local/bin
    
  9. 更新されたツールをテストします。以下はその例です。
      /usr/local/bin/losetup -e aes /dev/loop0 /dev/sdb1
      (enter password)
      mke2fs -j /dev/loop0
      mount /dev/loop0 /mnt
    
    
      umount /mnt
      losetup -d /dev/loop0
暗号化を解除するには、ファイルを該当パーティションの外に移します。暗号化は、Caché に対して透過的です。ファイル・システムがマウントされた後は、権限を持つすべてのユーザが読み取り可能になります。
キー・ファイルのセットアップ
このセクションでは、キー・ファイルのセットアップ手順を説明します。ここでは、以下のサンプル・ファイル名が使用されています。
root として :
  1. 暗号化/デジタル署名ツールの GNU Privacy Guard (gpg) を使用して、64 のランダムな暗号化キーを作成し、それらを keyfile に暗号化します。
    head -c 2880 /dev/random | uuencode -m - | head -n 65 | tail -n 64 \
        | gpg -c -a > /keyfile.gpg
    
    
    プロンプトにパスフレーズを入力します。
  2. /etc/fstab に次の 1 行を追加します。
    /dev/sdb2 /encrypted ext3 defaults,noauto,loop=/dev/loop0,encryption=AES128,gpgkey=/keyfile.gpg 0 0
    
    
    Important:
    一部のドキュメント出力メディアでは書式上の制限が原因で、このコマンドが 2 行にわたって表示される場合がありますが、このコマンドは必ず 1 行で入力してください。
  3. ループバック・デバイス上にファイル・システムを構築します。
    losetup -F /dev/loop0
    mkfs -t ext3 /dev/loop0
    losetup -d /dev/loop0
    
    
    プロンプトに手順 1 のパスフレーズを入力します。
  4. マウント・ポイントを作成します。
    mkdir /encrypted
    
    
  5. ファイル・システムをマウントします。
    mount /encrypted
    
    
    プロンプトに手順 1 のパスフレーズを入力します。
ファイル・システム暗号化キーには、ユーザ・キーが含まれます。暗号化ファイルにマウントするときは、ユーザ・キーの入力が求められます。
関連資料
ファイルの暗号化とその関連トピックに関する追加情報は、以下のドキュメントを参照してください。