インターシステムズは、Caché 5.0 における Caché データベース・ファイルの暗号化のテストを行ってきました。以下のトピックでは、暗号化に関する要件、推奨事項、および手順を、テスト済みのオペレーティング・システムごとに説明します。
Microsoft Windows での Caché ファイルの暗号化
ここでは、Microsoft Windows プラットフォームでの Caché ファイルの暗号化に関する基本的な手順を説明します。このトピックは以下のセクションで構成されます。
-
サポートされているバージョンの Windows で Caché を実行する (Microsoft Windows 2000、XP、または Server 2003)
-
-
-
Caché を実行するアカウントと同じアカウントでファイルを暗号化する
-
Important:
これらのディレクトリを暗号化すると、Caché コントローラ・サービスおよび Windows 暗号化ファイル・システム (EFS) サービスを含む Windows 2000 Pro では競合状態が生じる原因となり、Caché の起動が最大で 30 分ほど断続的に遅延することがあります。この間は、その他の数多くのアプリケーションも同様に遅延の影響を受けます。
-
データベース・ファイル自体を個別に暗号化するのではなく、データベース・ファイルを含むディレクトリを暗号化します。暗号化ディレクトリに作成または移動されるすべてのファイルに、同じ暗号化属性が自動的に適用されます。
-
ファイルの暗号化と Caché の実行に使用するアカウントは、Administrators グループに属している必要があります。ユーザと権限の関係の詳細は、ご使用のオペレーティング・システムのマニュアルを参照してください。
Microsoft Windows で Caché データベース (
cache.dat) ファイルを適切に暗号化するには、以下の手順を実行します。
-
-
-
-
Caché キューブを終了し、IIS Web サーバと、共有違反を生じる可能性がある他のすべてのプロセスをシャットダウンします。
-
-
-
-
Caché が適切に起動するよう Caché コントローラ・サービスを編集します。
-
Windows コントロール パネルで、
サブメニューの
をクリックします。
-
-
Windows エクスプローラで、暗号化するフォルダごとに次の手順を実行します。
-
適切なフォルダを右クリックし、ショートカット・メニューの
をクリックします。
-
-
-
暗号化するファイルを含むフォルダごとに、ここまでの手順を繰り返します。
ファイルの暗号化は、Caché に対して透過的です。暗号化を解除するには、同じ手順を実行して、暗号化を指定するチェック・ボックスのチェックを外します。
Windows 暗号化ファイル・システム (EFS) とその関連トピックの追加情報は、Microsoft 社の Web サイト
www.microsoft.com にある以下の Microsoft ドキュメントを参照してください。
-
Windows での暗号化に関する全般的な理解 :
-
-
Windows 2000 プラットフォームにおける特記事項 :
-
Windows XP および Server 2003 プラットフォームにおける特記事項 :
Red Hat Linux での Caché ファイルの暗号化
ここでは、ループバック・デバイスを使用する Red Hat Linux プラットフォームでの Caché ファイルの暗号化に関する基本的な手順を説明します。このトピックは以下のセクションで構成されます。
-
異なる物理ディスク・パーティションにファイル・システムを定義し、データベース・ファイルを保持する
-
ループバックの設定を完了してから、ループバック・デバイスにファイルを配置する
-
暗号化ファイル・システムには、Caché ファイルのすべてまたは一部を配置することも、いっさい配置しないことも可能です。
-
ジャーナルおよび WIJ ファイルを暗号化する場合は、仮想ループバック・デバイスを使用する別の物理ディスクに配置します。
-
安全面の観点から、キー・ファイルはリムーバブル・メディアに保持することを推奨します。ハード・ドライブでの保持も許容範囲内です。リムーバブル・メディアにキー・ファイルを保持する場合は、リムーバブル・メディアからキー・ファイルを使用できることをテストし、必ず別の場所に保管してください。キー・ファイルを紛失すると、ファイル・システム上のすべてを失うことになります。
Loop-AES は優れた機能を提供する Linux 用のパッケージで、ファイル・システムとスワップの高速かつ透過的な暗号化を実現します。以下のセクションでは、このタイプの暗号化の設定に際して、インターシステムズが推奨する手順を説明します。
Loop-AES 機能を使用するには、最新の Linux パッチ・ファイルを適用し、
mount および
losetup コマンドに代わるユーザ・スペース・ツールを導入する必要があります。
-
-
-
-
-
-
INSTALL ファイルに記載されている、ビルドとインストールに関する注意事項に目を通します。
-
パッケージを構成およびメイクします。インストールはしないでください。
-
次は、手順 4 から 8 までを実行するコマンド・セットの例です。
tar zxvf util-linux-2.12a.tar.gz
cd util-linux-2.12a
patch -p1 < ../loop-AES-v2.1c/util-linux-2.12a.diff
more INSTALL
./configure
make
cd mount
cp -a losetup /usr/local/bin
cp -a mount /usr/local/bin
-
更新されたツールをテストします。以下はその例です。
/usr/local/bin/losetup -e aes /dev/loop0 /dev/sdb1
(enter password)
mke2fs -j /dev/loop0
mount /dev/loop0 /mnt
umount /mnt
losetup -d /dev/loop0
暗号化を解除するには、ファイルを該当パーティションの外に移します。暗号化は、Caché に対して透過的です。ファイル・システムがマウントされた後は、権限を持つすべてのユーザが読み取り可能になります。
このセクションでは、キー・ファイルのセットアップ手順を説明します。ここでは、以下のサンプル・ファイル名が使用されています。
-
暗号化/デジタル署名ツールの GNU Privacy Guard (gpg) を使用して、64 のランダムな暗号化キーを作成し、それらを
keyfile に暗号化します。
head -c 2880 /dev/random | uuencode -m - | head -n 65 | tail -n 64 \
| gpg -c -a > /keyfile.gpg
-
/dev/sdb2 /encrypted ext3 defaults,noauto,loop=/dev/loop0,encryption=AES128,gpgkey=/keyfile.gpg 0 0
Important:
一部のドキュメント出力メディアでは書式上の制限が原因で、このコマンドが 2 行にわたって表示される場合がありますが、このコマンドは必ず 1 行で入力してください。
-
ループバック・デバイス上にファイル・システムを構築します。
losetup -F /dev/loop0
mkfs -t ext3 /dev/loop0
losetup -d /dev/loop0
プロンプトに手順 1 のパスフレーズを入力します。
-
-
プロンプトに手順 1 のパスフレーズを入力します。
ファイル・システム暗号化キーには、ユーザ・キーが含まれます。暗号化ファイルにマウントするときは、ユーザ・キーの入力が求められます。
ファイルの暗号化とその関連トピックに関する追加情報は、以下のドキュメントを参照してください。
-
ループバック・デバイスの説明とその使用法に関する全般的な情報 :
-