git.gag.com Git - debian/amanda/blob - man/amcrypt-ossl-asym.8

   1 '\" t
   2 .\"     Title: amcrypt-ossl-asym
   3 .\"    Author: Kevin Till <kevin.till@zmanda.com>
   4 .\" Generator: DocBook XSL Stylesheets v1.76.1 <http://docbook.sf.net/>
   5 .\"      Date: 02/21/2012
   6 .\"    Manual: System Administration Commands
   7 .\"    Source: Amanda 3.3.1
   8 .\"  Language: English
   9 .\"
  10 .TH "AMCRYPT\-OSSL\-ASYM" "8" "02/21/2012" "Amanda 3\&.3\&.1" "System Administration Commands"
  11 .\" -----------------------------------------------------------------
  12 .\" * Define some portability stuff
  13 .\" -----------------------------------------------------------------
  14 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  15 .\" http://bugs.debian.org/507673
  16 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
  17 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  18 .ie \n(.g .ds Aq \(aq
  19 .el       .ds Aq '
  20 .\" -----------------------------------------------------------------
  21 .\" * set default formatting
  22 .\" -----------------------------------------------------------------
  23 .\" disable hyphenation
  24 .nh
  25 .\" disable justification (adjust text to left margin only)
  26 .ad l
  27 .\" -----------------------------------------------------------------
  28 .\" * MAIN CONTENT STARTS HERE *
  29 .\" -----------------------------------------------------------------
  30 .SH "NAME"
  31 amcrypt-ossl-asym \- crypt program for Amanda asymmetric data encryption using OpenSSL
  32 .SH "SYNOPSIS"
  33 .HP \w'\fBamcrypt\-ossl\-asym\fR\ 'u
  34 \fBamcrypt\-ossl\-asym\fR [\-d]
  35 .SH "DESCRIPTION"
  36 .PP
  37
  38 \fBamcrypt\-ossl\-asym\fR
  39 uses
  40 \fBOpenSSL\fR
  41 to encrypt and decrypt data\&. OpenSSL is available from
  42 www\&.openssl\&.org\&. OpenSSL offers a wide variety of cipher choices (
  43 \fBamcrypt\-ossl\-asym\fR
  44 defaults to 256\-bit AES) and can use hardware cryptographic accelerators on several platforms\&.
  45 .PP
  46
  47 \fBamcrypt\-ossl\-asym\fR
  48 will search for the OpenSSL program in the following directories: /bin:/usr/bin:/usr/local/bin:/usr/ssl/bin:/usr/local/ssl/bin\&.
  49 .SH "GENERATING PUBLIC AND PRIVATE KEYS"
  50 .PP
  51 RSA keys can be generated with the standard OpenSSL commands, e\&.g\&.:
  52 .nf
  53 $ cd /var/lib/amanda
  54 $ openssl genrsa \-aes128 \-out backup\-privkey\&.pem 1024
  55 Generating RSA private key, 1024 bit long modulus
  56 [\&.\&.\&.]
  57 Enter pass phrase for backup\-privkey\&.pem: \fIENTER YOUR PASS PHRASE\fR
  58 Verifying \- Enter pass phrase for backup\-key\&.pem: \fIENTER YOUR PASS PHRASE\fR
  59
  60 $ openssl rsa \-in backup\-privkey\&.pem \-pubout \-out backup\-pubkey\&.pem
  61 Enter pass phrase for backup\-privkey\&.pem: \fIENTER YOUR PASS PHRASE\fR
  62 Writing RSA key
  63 .fi
  64 .PP
  65 To generate a private key without a passphrase, omit the
  66 \fB\-aes128\fR
  67 option\&. See
  68 \fBopenssl_genrsa\fR(1)
  69 for more key generation options\&.
  70 .PP
  71 Note that it is always possible to generate the public key from the private key\&.
  72 .SH "KEY AND PASSPHRASE MANAGEMENT"
  73 .PP
  74
  75 \fBamcrypt\-ossl\-asym\fR
  76 uses the
  77 \fIpublic key\fR
  78 to encrypt data\&. The security of the data does not depend on the confidentiality of the public key\&. The
  79 \fIprivate key\fR
  80 is used to decrypt data, and must be protected\&. Encrypted backup data cannot be recovered without the private key\&. The private key may optionally be encrypted with a passphrase\&.
  81 .PP
  82 While the public key must be online at all times to perorm backups, the private key and optional passphrase are only needed to restore data\&. It is recommended that the latter be stored offline all other times\&. For example, you could keep the private key on removable media, and copy it into place for a restore; or you could keep the private key online, encrypted with a passphrase that is present only for a restore\&.
  83 .PP
  84 OpenSSL\*(Aqs key derivation routines use a salt to guard against dictionary attacks on the pass phrase; still it is important to pick a pass phrase that is hard to guess\&. The Diceware method (see
  85 www\&.diceware\&.com) can be used to create passphrases that are difficult to guess and easy to remember\&.
  86 .SH "FILES"
  87 .PP
  88 /var/lib/amanda/backup\-privkey\&.pem
  89 .RS 4
  90 File containing the RSA private key\&. It should not be readable by any user other than the Amanda user\&.
  91 .RE
  92 .PP
  93 /var/lib/amanda/backup\-pubkey\&.pem
  94 .RS 4
  95 File containing the RSA public key\&.
  96 .RE
  97 .PP
  98 /var/lib/amanda/\&.am_passphrase
  99 .RS 4
 100 File containing the passphrase\&. It should not be readable by any user other than the Amanda user\&.
 101 .RE
 102 .SH "SEE ALSO"
 103 .PP
 104 \fBamanda\fR(8),
 105 \fBamanda.conf\fR(5),
 106 \fBopenssl\fR(1),
 107 \fBamcrypt-ossl\fR(8)
 108 .PP
 109 The Amanda Wiki:
 110 : http://wiki.zmanda.com/
 111 .SH "AUTHOR"
 112 .PP
 113 \fBKevin Till\fR <\&kevin\&.till@zmanda\&.com\&>
 114 .RS 4
 115 Zmanda, Inc\&. (http://www\&.zmanda\&.com)
 116 .RE
 117 .SH "NOTES"
 118 .IP " 1." 4
 119 www.openssl.org
 120 .RS 4
 121 \%http://www.openssl.org/
 122 .RE
 123 .IP " 2." 4
 124 www.diceware.com
 125 .RS 4
 126 \%http://www.diceware.com/
 127 .RE