Users Guide

暗号鍵は、Keytool などのユーティリティーによって、Encryption Key Manager に

対して生成されます。AES 鍵を生成する責任と、それらの鍵をテープ・ドライブに

転送する方法は、暗号化管理の方法によって異なります。ただし、Encryption Key

Manager による暗号鍵の使用法と、他のアプリケーションによる使用法の違いを理

解することは有用です。

Dell Encryption Key Manager による暗号鍵の処理

ライブラリー管理テープ暗号化では、暗号化されていないデータが LTO 4 または

LTO 5 テープ・ドライブに送信され、Encryption Key Manager で使用可能な鍵スト

アからの事前生成対称データ鍵 (DK) を使用して暗号文に変換されてから、テープ

に書き込まれます。Encryption Key Manager は、事前生成された DK をラウンドロ

ビン方式で選択します。事前生成されている DK では数が不足する場合、DK は

複数のテープ・カートリッジで再利用されます。 DK は、Encryption Key Manager

によって暗号化、つまりラップされた形で LTO 4 または LTO 5 テープ・ドライ

ブに送信されます。LTO 4 および LTO 5 テープ・ドライブは、この DK をアン

ラップして暗号化または暗号化解除のために使用します。ただし、LTO 4 または

LTO 5 テープ・カートリッジ上ではどこにも、ラップされた鍵は保管されません。

暗号化ボリュームが書き込まれたら、DK は、別名または鍵ラベルに基づいてアク

セス可能であり、ボリュームが読み取られるように Encryption Key Manager で使用

可能でなければなりません。 1-8 ページの図 1-3 にこのプロセスを示します。

Dell Encryption Key Manager により、LTO 暗号化用の対称鍵をキー・グループに

編成することができます。これを使用すると、暗号化するデータのタイプ、鍵への

アクセス権を持つユーザーに従って、あるいはその他の重要な特性によって鍵をグ

ループ化できます。詳しくは、 3-17 ページの『キー・グループの作成および管理』

を参照してください。

他のアプリケーションによる暗号鍵の処理

アプリケーション管理テープ暗号化では、暗号化されていないデータが LTO 4 お

よび LTO 5 テープ・ドライブに送信され、アプリケーションによって提供される

対称 DK を使用して暗号文に変換されてから、テープに書き込まれます。DK は、

テープ・カートリッジ上のどこにも保管されません。暗号化ボリュームが書き込ま

れたら、DK は、ボリュームが読み取られるように、アプリケーションが使用でき

る場所、例えばサーバー・データベースに入っている必要があります。

LTO 4 および LTO 5 テープ・ドライブは、Yosemite (Dell PowerVault TL2000 お

よび TL4000 テープ・ライブラリー用)、CommVault、および Symantec Backup

Exec などのアプリケーションを使用して、アプリケーション管理暗号化を行うこと

ができます。

あるいは、T10 コマンド・セットを使用するアプリケーションが LTO 4 および

LTO 5 テープ・ドライブを使用して暗号化を実行することができます。T10 コマン

ド・セットは、アプリケーションによって提供される対称 256 ビット AES 鍵を使

用します。T10 は、各テープ・カートリッジについて複数の、固有の DK を使用で

き、暗号化データおよび平文データを同じテープ・カートリッジに書き込むことも

できます。アプリケーションは、テープ・カートリッジを暗号化する際に、アプリ

ケーションによって決定された方法で DK を選択または生成し、それをテープ・ド

ライブに送信します。鍵は、非対称公開鍵ではラップされず、テープ・カートリッ

第 1 章テープ暗号化の概要 1-7