Encrypt Manager

: 特定のデバイスに存在する機能のみを表示するには、下の SmartDocs バーから 1 つまたは複数のフィルタを選択します。

言語に関する注: 入力フィールドには、英語のみを入力できます。

StageNow - 5.3

概要

Encrypt Manager (EncryptMgr) を使用すると、アプリはキー ストレージ データベースの管理、フル ストレージ カード暗号化の有効化または無効化、および暗号化ファイル システム (EFS) の作成または削除を行うことができます。暗号化を設定するには、次のような特定の質問に答える必要があります。

  • どのデータが暗号化されますか?
  • 暗号化されたデータの物理的な保存場所はどこですか?
  • 暗号化されていないデータは、アプリケーションによりどのようにアクセスされますか?
  • データの暗号化と復号化に使用されるキーはどれですか?

Zebra Android デバイスは、デバイス ファイル システムに保存されているデータの暗号化を、次の 2 つの操作モードでサポートしています。

  • フル ストレージ カード暗号化モードでは、1 つのストレージ カードを使用できます。通常、物理的に取り外し可能なストレージ カード (マイクロ SD カードなど) が、1 つの暗号化ファイル システムとしてフォーマットされます。このモードは、カードが物理的にデバイスから取り外された場合に、ストレージ カードに保存されているすべてのデータが外部からアクセスされるのを防止するため、セキュリティの観点から特に有用です。このモードでは、カード全体が暗号化され、暗号化の実行に使用されるキーはカードに保存されません。データは透過的に暗号化および復号化されるため、デバイス上で実行されているアプリケーションは、暗号化されていないかのように、ストレージ カード上のすべてのデータにアクセスできます。アプリケーションは、ストレージ カードが暗号化されていない場合と同じパスを使用して、暗号化されたストレージ カードにアクセスします。

[フル ストレージ カード暗号化モード] がオンになっている場合、次に示すように、デバイスの種類が異なると応答が異なります。

  • デバイス (MC40 など) にリムーバブル ストレージ カードがない場合、内蔵のプライマリ外部ストレージ ボリュームは、リムーバブル ストレージ カードの暗号化と同じ方法で暗号化されます。
  • デバイスがリムーバブル ストレージ カードをサポートしていて、そのスロットが空の場合、MXMS からは、カードが見つからず、内蔵のプライマリ外付けストレージが暗号化されないことを示すエラーを返します。

注: リムーバブル ストレージ カードがスロットにあるときに [フル ストレージ カード暗号化モード] がオンになっている場合、リムーバブル ストレージ カードは暗号化されます。デバイスから削除された後も暗号化されたままになり、キーが存在する場合は、最初に暗号化したデバイスにのみマウント可能になります。

注: ストレージ カードを暗号化されていない状態から暗号化されている状態に、または暗号化されている状態から暗号化されていない状態に変更するには、カードを再フォーマットする必要があり、これにより、カード上のすべてのデータが消去されます。保存する必要があるデータがある場合は、暗号化を有効または無効にする前に別の場所にコピーし、カードの再フォーマット後に元の場所にコピーする必要があります。

  • フォルダ暗号化モードでは、任意の数の暗号化ファイル システム (EFS) を作成できます。各 EFS のデータは、暗号化されていないファイル システムに保存する必要がある 1 つのファイルに格納されています。このファイルは、バッキング ストレージ ファイル (BSF) と呼ばれます。BSF は内部ストレージ (例 /data) またはプライマリ ストレージ カードに保存されます。BSF の名前は、EFS の名前に基づいて付けられます。EFS は、マウント ポイントと呼ばれる仮想パスにマウントされます。EFS のマウント ポイントには、BSF が配置されている、暗号化されていない同じファイル システム上のパス、または別のファイル システム上のパスを入力できます。データは透過的に暗号化および復号化されるため、デバイス上で実行されているアプリケーションは、暗号化されていないかのように EFS 上のすべてのデータにアクセスできます。アプリケーションは、EFS の作成時に確立されたマウント ポイント パスを使用して EFS にアクセスする必要があります。

注: EFS の BSF は取り外し可能なストレージ カードに保存できますが、フル ストレージ カード暗号化モードを使用して暗号化されたストレージ カードには保存できません。EFS を作成しようとすると、その BSF がフル ストレージ カード暗号化を使用して暗号化されたストレージ カード上にある場合は、結果の XML にエラーが返されます。

Zebra Android デバイスには、名前付き暗号化キーのキー ストレージ データベースがあります。名前付きキーのそれぞれには、フル ストレージ カードの暗号化や任意の数の EFS の暗号化に使用できるキー値が関連付けられています。フル ストレージ カード暗号化を有効にする場合、または EFS を作成する場合は、名前付きキーを指定する必要があり、また名前付きキーがキー ストレージ データベースに存在する必要があります。キー ストレージ データベースから名前付きキーが削除されると、その名前付きキーを使用して暗号化されたフル ストレージ カード暗号化または EFS あるいはその両方にアクセスできなくなります。名前付きキーを (同じキー値で) 追加すると、アクセシビリティが復元されます。

主な機能

  • 名前付きキーを追加および削除する
  • 暗号化されたファイル システムを作成および削除する
  • ストレージ カードを暗号化または暗号化なしとしてフォーマットする

インストール キー

デバイスのキー ストレージ データベースに名前付きキーを追加するかどうかを選択するために使用されます。デバイスのキー ストレージ データベースに名前付きキーを追加すると、キーが、フル ストレージ カード暗号化を有効にするとき、または EFS を作成するときに使用できるようになります。

:

  • 特定のマウント ポイントを使用して、一度にマウントできる暗号化ファイル システム (EFS) は 1 つだけです。
  • マウントされた EFS ですでに使用されているマウント ポイントを使用して EFS を作成しようとすると、マウントされない新しい EFS が作成されます。
  • キー ストレージ データベースに追加された名前付きキーは、そのキーを使用して以前に暗号化されたストレージ カードまたは EFS に影響を与える可能性があります。
  • 同じ名前と値のキーが追加された場合、キーの削除によりアクセスできなくなっていたストレージがアクセス可能になり、再マウントできる可能性があります。

パラメータ名: InstallKeyAction

オプション 名前 説明注記 要件
0 何もしない この値 (または XML からのこのパラメータがない場合) により、キー ストレージ データベースは変更されません。

OSX: 1.0+

MX: 4.3+
1 インストール キー キー ストレージ データベースに名前付きキーとその関連キーの値を追加します。

OSX: 1.0+

MX: 4.3+

インストール キー名

キー ストレージ データベースに追加される名前付きキーの名前を入力するために使用されます。

注: キー ストレージ データベースにすでに存在する名前付きキーを追加しようとすると、結果の XML にエラーが返されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列

次の場合に表示: インストール キー アクションが [インストール キー] の場合

パラメータ名: InstallKeyName

要件:

  • OSX: 1.0+
  • MX: 4.3+

インストール キーの値

キー ストレージ データベースに追加される名前付きキーに関連付けるキー値を入力するために使用されます。空 (長さ 0) の値を入力すると (または XML からのこのパラメータがない場合)、ランダムなキー値が自動的に生成され、デバイスで使用されます。ランダム キーの生成に関する以下の重要事項をお読みください

重要: ランダムな、マシンで生成されたキーは、一般に最も安全なキーと見なされます。このようなキーはその長さにより推測することが事実上不可能であり、ユーザーには知られていないため、誤って明らかにすることがあり得ません。ただし、ランダム キーが失われると、そのキーを使用して暗号化されたデータも失われます。エンタープライズ リセットまたはその他の消去イベントが発生した後に、そのイベント中に暗号化キーの唯一のコピーが消去された場合、永続データがデバイス上で取得できなくなる可能性があります。インストール キー値パラメータは、任意の必要なメカニズムを使用して生成された 256 ビット AES 暗号化値を受け入れます。生成されたキー値は、慎重に管理および保持する必要があります。

Zebra では、暗号化キーの持続性をデバイス データのものと一致させることを推奨します

パラメータ値入力ルール:

  • 空の 16 進文字列 (長さ 0) または正確に 64 文字の 16 進数 (「0 ~ 9」または「A ~ F」あるいはその両方) が、256 ビットのバイナリ値をエンコードするための AES 暗号化キー値として使用されます

次の場合に表示: インストール キー アクションが [インストール キー] の場合

パラメータ名: InstallKeyValue

要件:

  • OSX: 1.0+
  • MX: 4.3+

キーの取り消し

キー ストレージ データベースから名前付きキーを削除するかどうかを選択するために使用されます。

注: 現在キー ストレージ データベースに存在しない名前付きキーを削除しようとすると、結果の XML にエラーが返されます。

キー ストレージ データベースから名前付きキーを削除すると、フル ストレージ カード暗号化を有効にしたり、EFS を作成したりするときに、後でそのキーを使用するのを防ぐことができます。

注: 名前付きキーがキー ストレージ データベースから正常に削除されると、そのキーを使用して暗号化され、マウントされたストレージ カードまたは暗号化されたファイル システムはマウント解除され、アクセスできなくなります。

パラメータ名: RevokeKeyAction

オプション 名前 説明注記 要件
0 何もしない この値 (または XML からのこのパラメータがない場合) により、キー ストレージ データベースは変更されません。

OSX: 1.0+

MX: 4.3+
1 キーの取り消し キー ストレージ データベースから暗号化キーを削除します。

OSX: 1.0+

MX: 4.3+

キー名の取り消し

キー ストレージ データベースから削除する名前付きキーの名前を入力するために使用されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列
  • 名前はカンマで区切る必要があります

次の場合に表示: キーの取り消しアクションが [キーの取り消し] の場合

パラメータ名: RevokeKeyName

要件:

  • OSX: 1.0+
  • MX: 4.3+

EFS の作成

デバイス上に暗号化されたファイル システムを作成するかどうかを選択するために使用されます。

注: 暗号化されたファイル システム (EFS) の作成プロセスには、バッキング ストレージ ファイル (BSF) を作成し、指定されたマウント ポイントに EFS をマウントする必要があるため、時間がかかります。結果として、マウント ポイントを使用して EFS にアクセスするには、マウント ポイントが正常にマウントされる必要があります。さらに、使用しているキー名がキー ストレージ データベースから削除された場合、後で EFS をマウント解除できます。したがって、EFS を使用するアプリケーションには、EFS がマウントされておらず、アクセスできない状況に対処できるエラー処理ロジックが含まれている必要があります。

暗号化されたファイル システムを作成しようとすると、次のようなさまざまな理由で失敗する可能性があります。

  • 指定された EFS 名を持つ BSF が、指定された保存場所にすでに存在します。特定の名前の EFS は、ストレージの場所ごとに 1 つだけ作成できます。
  • BSF に指定された保存場所が、アクセスできない (たとえば、マウントされていない) か、書き込み可能ではありません。
  • BSF に指定された保存場所に、指定されたサイズの BSF を作成するための十分な空きスペースがありません。
  • BSF 用に指定された保存場所は、フル ストレージ カード暗号化がアクティブ化されたストレージ カードです。
  • EFS に指定された名前付きキーがキー ストレージ データベースに存在しません。
  • EFS に指定されたサイズが無効です。

パラメータ名: CreateEFSAction

オプション 名前 説明注記 要件
0 何もしない この値 (または XML からのこのパラメータがない場合) を指定すると、暗号化されたファイル システムは作成されません。

OSX: 1.0+

MX: 4.3+
1 EFS の作成 この値を指定すると、暗号化されたファイル システムが作成されます。

OSX: 1.0+

MX: 4.3+

EFS 名

作成する暗号化ファイル システムの名前を入力するために使用されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列

次の場合に表示: EFS の作成アクションが [EFS の作成] の場合

パラメータ名: EFSName

要件:

  • OSX: 1.0+
  • MX: 4.3+

EFS キー名

暗号化されたファイル システムを作成するときに使用する名前付きキーを入力するために使用されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列

次の場合に表示: EFS の作成アクションが [EFS の作成] の場合

パラメータ名: EFSKeyName

要件:

  • OSX: 1.0+
  • MX: 4.3+

EFS の場所

暗号化ファイル システムを作成するために、バッキング ストレージ ファイルを保存するストレージの場所を入力するために使用されます。

次の場合に表示: EFS の作成アクションが [EFS の作成] の場合

パラメータ名: EFSLocation

オプション 名前 説明注記 要件
0 何もしない この値は、EFS の BSF がデバイスの内部ストレージ (つまり /data) で作成されることを示します。

OSX: 1.0+

MX: 4.3+
1 インストール キー この値は、EFS の BSF がデバイスのプライマリ ストレージ カードに作成されることを示します。

OSX: 1.0+

MX: 4.3+

EFS のサイズ

作成する暗号化ファイル システムのバッキング ストレージ ファイルのサイズ (MB 単位) を入力するために使用されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列
  • この値は 1MB 以上である必要があり、4096MB を超えることはできません。

次の場合に表示: EFS の作成アクションが [EFS の作成] の場合

パラメータ名: VolumeSize

要件:

  • OSX: 1.3+
  • MX: 4.3+

EFS のマウント パス

作成する暗号化ファイル システムに使用するマウント パスを入力するために使用されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列

次の場合に表示: EFS の作成アクションが [EFS の作成] の場合

パラメータ名: MountPath

要件:

  • OSX: 1.0+
  • MX: 4.3+

EFS の削除

暗号化されたファイル システムを削除するかどうかを選択するために使用されます。

パラメータ名: DeleteEFSAction

オプション 名前 説明注記 要件
0 何もしない この値 (または XML からのこのパラメータがない場合) により、暗号化されたファイル システムが変更されることはありません。

OSX: 1.0+

MX: 4.3+
1 EFS の削除 暗号化されたファイル システムを削除します。

OSX: 1.0+

MX: 4.3+

EFS の場所を削除 (内部/SD カード)

削除する暗号化ファイル システム (EFS) のバッキング ストレージ ファイル (BSF) の保存場所を入力するために使用されます。

次の場合に表示: EFS の作成アクションが [EFS の削除] の場合

パラメータ名: DeleteEFSLocation

オプション 名前 説明注記 要件
0 何もしない 削除される EFS の BSF がデバイスの内部ストレージ (つまり /data) にあることを示します。

OSX: 1.0+

MX: 4.3+
1 インストール キー この値は、削除される EFS の BSF がデバイスのプライマリ ストレージ カードにあることを示します。

OSX: 1.0+

MX: 4.3+

SD カード操作

フル ストレージ カード暗号化を有効または無効にするために使用されます。フル ストレージ カード暗号化をアクティブ化または非アクティブ化しようとすると、次のようなさまざまな理由で失敗する可能性があります。

  • ストレージ カードは取り外し可能で、現在デバイスに存在しません
  • ストレージ カードが現在マウントされていないか、アクセスできません
  • 指定された名前付きキーがキー ストレージ データベースに存在しません。

注: フル ストレージ カード暗号化が有効または無効になっている場合は、ストレージ カードをそれぞれ暗号化または暗号化なしとして再フォーマットする必要があります。再フォーマットすると、カード上のすべてのデータが失われます。保存する必要があるデータがある場合は、暗号化を有効または無効にする前に別の場所にコピーしてから、カードの再フォーマット後に元の場所にコピーする必要があります。

パラメータ名: SdCardOperation

オプション 名前 説明注記 要件
0 何もしない この値 (または XML からのこのパラメータがない場合) により、フル ストレージ カード暗号化の有効化ステータスが変更されることはありません。

OSX: 1.3+

MX: 4.3+
1 SD カードの暗号化 フル ストレージ カードの暗号化を有効にし、再フォーマットしてストレージ カードを暗号化します。

OSX: 1.3+

MX: 4.3+
2 SD カードのフォーマット フル ストレージ カードの暗号化を無効にし、再フォーマットしてストレージ カードから暗号化を削除します。

OSX: 1.3+

MX: 4.3+

SD カードの暗号化キー

フル ストレージ カード暗号化の実行に使用される名前付きキーの入力に使用されます。

注: 名前付きキーがキー ストレージ データベースに存在しない場合、結果の XML にエラーが返されます。

パラメータ値入力ルール:

  • 最小サイズが 1 文字の文字列

次の場合に表示: SD カードの操作が [SD カードの暗号化] の場合

パラメータ名: SdCardKeyName

要件:

  • OSX: 1.3+
  • MX: 4.3+

SD カードの暗号化


<wap-provisioningdoc>
    <characteristic type="EncryptMgr" version="4.3" >
        <parm name="SdCardOperation" value="1"/>
        <parm name="SdCardKeyName" value=" EncryptKey"/>
    </characteristic>
</wap-provisioningdoc>

照会

SD カードの暗号化状態を取得する

入力


<wap-provisioningdoc>
    <characteristic type="EncryptMgr">
        <parm-query name="SdCardOperation" />
    </characteristic>
</wap-provisioningdoc>

出力


<wap-provisioningdoc>
    <characteristic type="EncryptMgr" version="4.3">
        <parm name="SdCardOperation" value="1" />
    </characteristic>
</wap-provisioningdoc>

EFS (暗号化ファイル システム) リストを取得する

入力


<wap-provisioningdoc>
    <characteristic type="EncryptMgr" version="4.3">
        <characteristic-query type="CreateEFS"/>
    </characteristic>
</wap-provisioningdoc>

出力


<wap-provisioningdoc>
    <characteristic type="EncryptMgr" version="4.3">
        <characteristic type="CreateEFS"/>
            <parm name="CreateEFSAction" value="1" /> 
            <characteristic type="CreateEFSDetails">
                <parm name="EFSName" value=" EFSName1" /> 
                <parm name="EFSKeyName" value=" EFSKeyName1" /> 
                <parm name="EFSLocation" value=" StorageType1" /> 
                <parm name="MountPath" value=" MountPath1" /> 
                <parm name="VolumeSize" value=" VolumeSize1" /> 
            </characteristic>
        </characteristic>
    </characteristic>
    <characteristic type="EncryptMgr" version="4.3">
        <characteristic type="CreateEFS"/>
            <parm name="CreateEFSAction" value="1" /> 
            <characteristic type="CreateEFSDetails">
                <parm name="EFSName" value=" EFSName2" /> 
                <parm name="EFSKeyName" value=" EFSKeyName2" /> 
                <parm name="EFSLocation" value=" StorageType2" /> 
                <parm name="MountPath" value=" MountPath2" /> 
                <parm name="VolumeSize" value=" VolumeSize2" /> 
            </characteristic>
        </characteristic>
    </characteristic>
</wap-provisioningdoc>

キー リストを取得する

入力


<wap-provisioningdoc>
    <characteristic type="EncryptMgr" version="4.3">
        <characteristic-query type="InstallKey"/>
    </characteristic>
</wap-provisioningdoc>

出力


<wap-provisioningdoc>
    <characteristic type="EncryptMgr" version="4.3">
        <characteristic type="InstallKey"/>
            <parm name="InstallKeyAction" value="1" /> 
            <characteristic type=" InstallKeyDetails ">
                <parm name="InstallKeyName" value=" KeyName1" /> 
            </characteristic>
        </characteristic>
    </characteristic>
    <characteristic type="EncryptMgr" version="4.3">
        <characteristic type="InstallKey"/>
            <parm name="InstallKeyAction" value="1" /> 
            <characteristic type=" InstallKeyDetails ">
                <parm name="InstallKeyName" value=" KeyName2" /> 
            </characteristic>
        </characteristic>
    </characteristic>
</wap-provisioningdoc>