データ暗号化行う設定ファイルを登録する

SINETStreamでデータ暗号化を行う設定ファイルを登録する手順を示します。

ここではデータ暗号化を行うSINETStream設定ファイルとして、以下の内容のものをコンフィグサーバに登録する手順を示します。

service-aes-1:
  type: kafka
  brokers:
    - kafka0.example.org:9092
  crypto:
    algorithm: AES
    key_length: 256
    mode: GCM
    key: !sinetstream/encrypted |-
      AAEBAWRj6x/9G7q9SC4QlR8+scAeep/XB4F3TdNNNnEZgnYXYiSLtOd6yVOTeDakX5fb+1fc
(以下略)

上記の設定ファイルを用いると SINETStream ライブラリは次のようなデータ暗号化を行います。

  • 暗号化方式
    • AES
  • 鍵長
    • 256
  • モード
    • GCM

設定ファイルの key にはデータ暗号化に用いる暗号鍵を指定しています。この値は秘匿情報となるので暗号鍵の値が直接記されているのではなく、各ユーザが事前に登録しているユーザ公開鍵で暗号化したものが記されています。この値が暗号化された値であることは !sinetstream/encrypted と記されていることによって示されています。

ユーザ公開鍵の登録

秘匿情報を含んだSINETStream設定ファイルを安全に配布するために、秘匿情報は各ユーザの公開鍵で暗号化したうえで設定ファイルへの埋め込みを行います。そのため各ユーザの公開鍵を事前にコンフィグサーバに登録しておく必要があります。

ここではユーザの公開鍵をコンフィグサーバに登録する手順を示します。

コンフィグサーバのホーム画面を表示してください。

ホーム画面1

ホーム画面の「ユーザ公開鍵」の部分に表示されている「登録」のリンク(上図赤丸部分)をクリックしてください。ユーザ公開鍵の登録ダイアログが表示されます。

公開鍵登録ダイアログ1

登録ダイアログでユーザ公開鍵を指定するには以下の三つの方法があります。

  1. 「ユーザ公開鍵」欄にユーザ公開鍵の値を直接入力する
  2. ローカル環境にあるユーザ公開鍵ファイルをアップロードする
    • 「ユーザ公開鍵」の左側にあるクリップのアイコンをクリックするとファイル選択ダイアログが表示されます
  3. コンフィグサーバにて公開鍵ペアを生成し、その公開鍵を登録する

ここでは3番目のコンフィグサーバで公開鍵ペアを生成する手順を示します。ダイアログに表示されている「キーペアの生成」ボタンをクリックしてください。キーペア生成ダイアログが表示されます。

公開鍵登録ダイアログ2

キーペア生成ダイアログにある「実行」ボタンをクリックすると公開鍵キーペアの生成処理が開始されます。キーペアの生成が完了するとダイアログの表示が更新され下図のようになります。

公開鍵登録ダイアログ3

「秘密鍵のダウンロード」ボタンをクリックすると生成したキーペアの秘密鍵をファイルとしてダウンロードできます。ダウンロードした秘密鍵はSINETStreamライブラリが秘匿情報を含む設定ファイルを利用する際に必要となるので適切な場所に保管してください。

生成されたキーペアの公開鍵は、ユーザ公開鍵ダイアログの「ユーザ公開鍵」欄に入力されています(下図)。

公開鍵登録ダイアログ4

「登録」ボタンをクリックするとユーザ公開鍵が登録されます。ホーム画面のユーザ公開鍵の「登録数」が1となっていることでユーザ公開鍵が登録されたことを確認出来ます。

ホーム画面2

コンフィグ情報の登録

SINETStream設定ファイルをコンフィグサーバに登録します。設定ファイルのうちデータ暗号鍵は秘匿情報として別に登録を行うので、ここではそれ以外の部分についての登録を行います。はじめに示した設定ファイルのうちkeyの部分を省いた以下の内容を設定ファイルとして登録します。

service-aes-1:
  type: kafka
  brokers:
    - kafka0.example.org:9092
  crypto:
    algorithm: AES
    key_length: 256
    mode: GCM

設定ファイルの登録手順は基本的に「設定ファイルを登録する」に示したものと同じになりますが、ここでは異なる手順で登録ダイアログを表示してみます。まずコンフィグ情報の一覧画面を表示してください。一覧画面を表示するには、ホーム画面のコンフィグ情報にある「一覧」リンクを選択するか、メニューの「コンフィグ情報」を選択してください。

コンフィグ情報一覧1

一覧画面の右上に表示されている登録ボタン(上図赤丸部分)をクリックすることでコンフィグ情報登録ダイアログが表示されます。

コンフィグ情報登録ダイアログ1

ダイアログが表示された時点で「SINETStream設定ファイル」欄にサンプルの設定ファイルの内容が入力済の状態になっています。上図ではサンプルの設定内容のトピック名が登録済のものと重複しているために警告が表示されています。

コンフィグ情報登録ダイアログ1

「SINETStream設定ファイル」欄の内容をこの節のはじめに例示した内容に変更してください。トピック名が変更されるため、当初表示されている警告メッセージが無くなります。

「名前」「コメント」欄に入力を行ってから「登録」ボタンを選択してください。

コンフィグ情報一覧2

登録処理が成功するとコンフィグ情報一覧の表示が更新されます。

データ暗号鍵の登録

前節で登録したコンフィグ情報にデータ暗号鍵を追加します。

先ほど登録したコンフィグ情報の詳細画面を表示してください。コンフィグ情報一覧画面に表示されている「名前」の列から対応するものを選択することで、詳細画面を表示することが出来ます。

コンフィグ情報1

コンフィグ情報詳細画面の下部に「データ暗号鍵」と表示されている部分(上図赤丸部分)があります。デフォルトでは折りたたまれて表示されますが一度クリックすることで下図のように展開されて表示されます。

コンフィグ情報2

展開された「データ暗号鍵」のパネルにある登録ボタン(上図赤丸部分)をクリックすることでデータ暗号鍵の登録ダイアログが表示されます。

データ暗号鍵登録ダイアログ

データ暗号鍵の「鍵サイズ」として 256 が入力済の状態でダイアログが表示されます。これは今回想定している鍵長と一致しているので、そのまま登録することが出来ます。設定ファイルの鍵長が異なる場合などは必要に応じてダイアログの入力内容を変更してください。

ダイアログの「登録」ボタンをクリックすることで登録が行われます。

コンフィグ情報3

データ暗号鍵の登録が成功すると、上図のように「データ暗号鍵」のパネルに登録内容が追加されて表示されます。また「設定ファイル」の欄の表示内容も更新されています。デフォルトでは設定ファイルの表示欄が狭いですが、枠の右下部分(上図赤丸部分)をドラッグすることで表示欄を広げることが出来ます。

コンフィグ情報4

データ暗号鍵を登録したことで「設定ファイル」欄の表示が更新されkeyが追加されていることが確認出来ます(上図赤枠部分)。

コンフィグ情報5

「埋め込み結果を表示する」スイッチをオフにするとデータ暗号鍵を埋め込む前の「設定ファイル」の登録内容を確認することも出来ます。