暗号化管理操作の実行
この章では、暗号化管理操作の実行方法について説明します。項目は以下のとおりです。
暗号化管理操作について
Caché では、“マネージド・キー暗号化” の章で説明されているように、暗号化データベースを使用できます。データベースに対して、以下のような暗号化管理操作の実行が必要になる場合があります。
-
暗号化されていないデータベースを暗号化データベースに変換する
-
暗号化データベースを暗号化されていないデータベースに変換する
-
新しいキーを使用するように暗号化データベースを変換する
これらの操作を実行するために、Caché にはこのようなアクションを実行するための一連の暗号化管理ツールが用意されています。または、cvencrypt と呼ばれるスタンドアロンのユーティリティを使用して、これらのアクションを実行することもできます。インターシステムズの暗号化管理ツールを使用することをお勧めします。
-
暗号化関連のアクティビティで組み込みのハードウェア命令が利用可能な場合、これらのアクティビティは、ソフトウェアベースの暗号化を使用する場合よりもはるかに高速です。ハードウェア命令が使用可能な場合、暗号化管理ツールはハードウェア命令を使用します。
-
暗号化管理ツールは、KMIP サーバに格納されたキーを使用できます。
-
暗号化管理ツールは FIPS モードで実行できます。
暗号化管理ツールも cvencrypt も、実行中のシステムに属するジャーナル・ファイルと共には使用できません。
暗号化管理ツールの使用
暗号化管理ツールがマウント済みデータベースで変換を実行すると、そのデータベースはディスマウントされてから再マウントされます。それに応じて計画を立ててください。これにより問題は発生しません。
暗号化されていないデータベースを暗号化データベースに変換する
暗号化されていないデータベースを暗号化データベースに変換するには:
-
暗号化されるデータベースのデータをバックアップします。
Caché は、所定位置のデータを暗号化します。つまり、このユーティリティの処理ではディスク上の領域を使用します (データベースを別の場所にコピーしておき、正常に解読が完了した後で現在のディスクの場所にデータベースをリストアするという処理は行いません)。処理が完了する前にユーティリティが無効になった場合、データベースは暗号化された部分と暗号化されていない部分が混在して、使用不可能になります。
Caution:データベースを変換する前にそのバックアップを作成しておくことは重要です。変換に失敗すると、データが失われる可能性があります。
-
ターミナルを開始します。
-
%SYS ネームスペースで、^EncryptionKey ユーティリティを実行します。
-
^EncryptionKey で、オプション [3]、[データベース暗号化] を選択します。
-
データベース暗号化のサブメニューで、オプション [7]、[既存のデータベースの暗号化された状態を変更する] を選択します。
-
[データベース・ディレクトリ] サブメニューで、変更するデータベースを選択します。データベースはそのディレクトリごとにリストされます。データベースを選択すると、ルーチンによりそのデータベースが暗号化されているかどうかが通知されます。
-
データベースが暗号化されていない場合、ルーチンにより暗号化が許可されます。[データベースを暗号化する?] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
-
[暗号化のキーを選択する] プロンプトで、ルーチンがデータベースの暗号化に使用するキーを選択します。データベースが現在マウントされている場合、ルーチンによりこの情報が表示されます。
-
データベースが現在マウントされている場合、ルーチンによりこれが示されます。[データベースをディスマウントする] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
Important:データベースをディスマウントしてから再マウントすると、操作が中断されるため、適切な予防措置を講じて問題が発生しないようにしてください。
これにより、データベースが暗号化されます。このプロセスの一部として、データベースがマウントされた場合、データベースをディスマウントして再マウントしたというメッセージが表示されます。データベースが再度マウントされると、暗号化が完了します。
暗号化データベースを暗号化されていないデータベースに変換する
暗号化データベースを暗号化されていないデータベースに変換するには:
-
暗号化されないデータベースのデータをバックアップします。
Caché は、所定位置のデータを暗号化されていない状態にします。つまり、このユーティリティの処理ではディスク上の領域を使用します (データベースを別の場所にコピーしておき、正常に解読が完了した後で現在のディスクの場所にデータベースをリストアするという処理は行いません)。処理が完了する前にユーティリティが無効になった場合、データベースは暗号化された部分と暗号化されていない部分が混在して、使用不可能になります。
Caution:データベースを変換する前にそのバックアップを作成しておくことは重要です。変換に失敗すると、データが失われる可能性があります。
-
ターミナルを開始します。
-
%SYS ネームスペースで、^EncryptionKey ユーティリティを実行します。
-
^EncryptionKey で、オプション [3]、[データベース暗号化] を選択します。
-
データベース暗号化のサブメニューで、オプション [7]、[既存のデータベースの暗号化された状態を変更する] を選択します。
-
[データベース・ディレクトリ] サブメニューで、変更するデータベースを選択します。データベースはそのディレクトリごとにリストされます。データベースを選択すると、ルーチンによりそのデータベースが暗号化されているかどうかが通知されます。データベースが暗号化されており、かつその暗号化キーが有効化されていない場合、これもルーチンにより通知されます。
-
データベースが暗号化されている場合、ルーチンにより解読が許可されます。[データベースを解読する?] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
-
データベースの暗号化キーがレポートされると、ルーチンにより、別のキーを使用してデータベースを暗号化するかどうかを確認するプロンプトが表示されます。Enter キーを押すと、解読されたデータベースに変換され、新しいキーを使用して暗号化されます。
-
データベースが現在マウントされている場合、ルーチンによりこれが示されます。[データベースをディスマウントする] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
Important:データベースをディスマウントしてから再マウントすると、操作が中断されるため、適切な予防措置を講じて問題が発生しないようにしてください。
これにより、データベースが解読されます。このプロセスの一部として、データベースがマウントされた場合、データベースをディスマウントして再マウントしたというメッセージが表示されます。データベースが再度マウントされると、解読が完了します。
新しいキーを使用するように暗号化データベースを変換する
新しいキーを使用するように暗号化データベースを変換するには:
-
再暗号化されるデータベースのデータをバックアップします。
Caché は、所定位置のデータを暗号化します。つまり、このユーティリティの処理ではディスク上の領域を使用します (データベースを別の場所にコピーしておき、正常に解読が完了した後で現在のディスクの場所にデータベースをリストアするという処理は行いません)。処理が完了する前にユーティリティが無効になった場合、データベースは暗号化された部分と暗号化されていない部分が混在して、使用不可能になります。
Caution:データベースを変換する前にそのバックアップを作成しておくことは重要です。変換に失敗すると、データが失われる可能性があります。
-
キー・ファイルまたは KMIP サーバから、データベースの暗号化に使用するキーおよびデータベースの再暗号化に使用するキーを有効化します。
-
ターミナルを開始します。
-
%SYS ネームスペースで、^EncryptionKey ユーティリティを実行します。
-
^EncryptionKey で、オプション [3]、[データベース暗号化] を選択します。
-
データベース暗号化のサブメニューで、オプション [7]、[既存のデータベースの暗号化された状態を変更する] を選択します。
-
[データベース・ディレクトリ] サブメニューで、変更するデータベースを選択します。データベースはそのディレクトリごとにリストされます。データベースを選択すると、ルーチンによりそのデータベースが暗号化されているかどうかが通知されます。
-
データベースが暗号化されている場合、ルーチンにより解読が許可されます。[データベースを解読する?] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
-
[データベースを再暗号化する?] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
-
[暗号化のキーを選択する] プロンプトで、ルーチンがデータベースの暗号化に使用するキーを選択します。
-
データベースが現在マウントされている場合、ルーチンによりこれが示されます。[データベースをディスマウントする] プロンプトで、「yes」または「y」と入力します。大文字と小文字は区別されません。
Important:データベースをディスマウントしてから再マウントすると、操作が中断されるため、適切な予防措置を講じて問題が発生しないようにしてください。
これにより、データベースが再暗号化されます。このプロセスの一部として、データベースがマウントされた場合、データベースをディスマウントして再マウントしたというメッセージが表示されます。データベースが再度マウントされると、暗号化が完了します。
スタンドアロン cvencrypt ユーティリティの使用
データベース変換アクティビティを実行するために、Caché では、スタンドアロンのユーティリティ cvencrypt もサポートしています。このユーティリティでは、以下をサポートしています。
cvencrypt について:
-
8 KB 形式データベースで使用します。
-
実行中のシステムに属するジャーナル・ファイルと共には使用できません。
暗号化されていないデータベースを暗号化データベースに変換する
ここでは、暗号化されていないデータベースを暗号化データベースにする手順を説明します。
-
暗号化されるデータベースのデータをバックアップします。
cvencrypt ユーティリティは、所定位置のデータを暗号化します。つまり、このユーティリティの処理ではディスク上の領域を使用します (データベースを別の場所にコピーしておき、正常に解読が完了した後で現在のディスクの場所にデータベースをリストアするという処理は行いません)。処理が完了する前にユーティリティが無効になった場合、データベースは暗号化された部分と暗号化されていない部分が混在して、使用不可能になります。
Caution:データベースを暗号化する前にそのバックアップを作成しておくことは重要です。暗号化に失敗すると、データが失われる可能性があります。
-
現在の Caché インスタンスで使用する既存のデータベース暗号化キーを用意します。
-
データベースがマウントされている場合はディスマウントします。この処理は、管理ポータルの [データベース] ページ ([システム処理] > [データベース]) から実行できます。
-
暗号化するデータベースの CACHE.DAT ファイルが格納されているディレクトリで、そのファイルへのパスを指定して cvencrypt ユーティリティを実行します。例えば、test1 というデータベースが C:\MyDBs ディレクトリにあり、Caché が C:\InterSystems\MyCache ディレクトリにインストールされている場合、以下のようにこのユーティリティを実行します。
C:\MyDBs\test1>..\..\InterSystems\MyCache\bin\cvencrypt CACHE.DAT
まず、このユーティリティ自体についての情報が表示され、続いて目的のデータベースから得られた情報が表示されます。
-
次に、目的のアクションの指定を促す以下のメッセージが表示されます。
1) Encrypt 2) Quit
データベースを暗号化するには、「1」と入力してから Enter を押します。
-
既存の暗号化キーを有効にするように求める以下のメッセージが表示されます。
Access database encryption key. Keyfile:
このプロンプトでは、データベースを暗号化するキーのフル・パスを入力します。例えば、データベース暗号化キー・ファイル dek1 を C:\InterSystems\MyCache\Mgr ディレクトリに格納している場合は、以下のように入力します。
Keyfile: C:\InterSystems\MyCache\Mgr\dek1
-
次に、キー・ファイル管理者のユーザ名とパスワードの入力を促す、以下のようなメッセージが表示されます。
Username: dek-admin1 Password: <characters shielded during entry>
これらの情報を入力すると、以下のメッセージが表示されます。このメッセージは、この操作では所定位置のデータが変更されるので、操作を続行する前に、データが適切にバックアップ済みであることを確認するよう求めるものです。
This utility will modify your database in place. Be sure that your data is adequately backed up before proceeding. Continue? [Y/N]:
続行する場合は、「Y」と入力します。
データベースが暗号化され、暗号化に使用されているキーが以下のように表示されます。
Using database encryption key (ID = 5DBC532D-4D1F-A3A4-30CDA34BB66B).
暗号化が実行されている間は、処理の進行状況と共に、処理を中断しないように呼びかける以下のメッセージが表示されます。
Caution:未完了な状態で処理を中断すると、データベースは暗号化されたデータと暗号化されていないデータが混在した状態になります。このようなデータベースを Caché で読み取ることはできないので、すべてのデータが失われることになります。
-
処理が完了すると、以下のような完了メッセージが表示されます。
Processed: 118400 blocks (done!)
暗号化データベースを暗号化されていないデータベースに変換する
ここでは、暗号化データベースを暗号化されていないデータベースにする手順を説明します。
-
暗号化されないデータベースをバックアップします。
cvencrypt ユーティリティは、所定位置のデータを解読します。つまり、このユーティリティの処理ではディスク上の領域を使用します (データベースを別の場所にコピーしておき、正常に解読が完了した後で現在のディスクの場所にデータベースをリストアするという処理は行いません)。処理が完了する前にユーティリティが無効になった場合、データベースは暗号化された部分と暗号化されていない部分が混在して、使用不可能になります。
Caution:データベースを解読する前にそのバックアップを作成しておくことは重要です。解読に失敗すると、データが失われる可能性があります。
-
データベースがマウントされている場合はディスマウントします。この処理は、管理ポータルの [データベース] ページ ([システム処理] > [データベース]) から実行できます。
-
解読するデータベースの CACHE.DAT ファイルが格納されているディレクトリで、そのファイルへのパスを指定して cvencrypt ユーティリティを実行します。例えば、test1 というデータベースが C:\MyDBs ディレクトリにあり、Caché が C:\InterSystems\MyCache ディレクトリにインストールされている場合、以下のようにこのユーティリティを実行します。
C:\MyDBs\test1>..\..\InterSystems\MyCache\bin\cvencrypt CACHE.DAT
まず、このユーティリティ自体についての情報が表示され、続いて目的のデータベースから得られた情報が表示されます。
-
データベースが暗合化されていると、その情報が以下のように表示されます。
Database is encrypted (Key ID = E1D00BC2-07F4-4495-9562-394B26A2B05B).
次に、実行するアクションの指定を促す以下のメッセージが表示されます。
1) Decrypt 2) Re-encrypt with a different key 3) Quit
-
データベースを解読するには、「1」と入力してから Enter を押します。このデータベースの暗号化キーを有効にするように求める以下のメッセージが表示されます。
Access original database encryption key (key ID = E1D00BC2-07F4-4495-9562-394B26A2B05B) Keyfile:
C:\encdb\dek などのフル・パスで指定してキー・ファイル名を入力します。相対パス名は使用できません。
-
次に、キー・ファイル管理者のユーザ名とパスワードの入力を促す、以下のようなメッセージが表示されます。
Username: dek-admin1 Password: <characters shielded during entry>
-
以下のように、解読を実行する準備ができたことを示すメッセージが表示されます。
Prepared to decrypt database (key ID = E1D00BC2-07F4-4495-9562-394B26A2B05B).
データが解読される前に、以下のメッセージが表示されます。このメッセージは、この操作では所定位置のデータが変更されるので、操作を続行する前に、データが適切にバックアップ済みであることを確認するよう求めるものです。
This utility will modify your database in place. Be sure that your data is adequately backed up before proceeding. Continue? [Y/N]:
続行する場合は、「Y」と入力します。処理の続行が確認されると、データベースが解読されます。
解読が実行されている間は、処理の進行状況と共に、処理を中断しないように呼びかける以下のメッセージが表示されます。
Decrypting database (key ID = E1D00BC2-07F4-4495-9562-394B26A2B05B). Do not interrupt this process! Processed: 25000 blocks (16%)
Caution:未完了な状態で処理を中断すると、データベースは暗号化されたデータと暗号化されていないデータが混在した状態になります。このようなデータベースを Caché で読み取ることはできないので、すべてのデータが失われることになります。
-
処理が完了すると、進行状況の表示が、処理の終了を示す以下のようなメッセージに変わります。
Processed: 153600 blocks (done!)
新しいキーを使用するように暗号化データベースを変換する
ここでは、新しいキーを使用するように暗号化データベースを再暗号化する手順を説明します。
-
再暗号化されるデータベースのデータをバックアップします。
cvencrypt ユーティリティの処理では所定の位置、つまりディスク上のある領域でデータを再暗号化します (データベースを別の場所にコピーしておき、正常に解読が完了した後で現在のディスクの場所にデータベースをリストアするという処理は行いません)。処理が完了する前にユーティリティが無効になった場合、データベースは 2 つの異なるキーで暗号化されるため、使用不可能になります。
Caution:データベースを解読する前にそのバックアップを作成しておくことは重要です。解読に失敗すると、データが失われる可能性があります。
-
データベースがマウントされている場合はディスマウントします。この処理は、管理ポータルの [データベース] ページ ([システム処理] > [データベース]) から実行できます。
-
データベースの再暗号化に使用するキーが存在していることを確認します。管理ポータルの [データベース暗号化] ページ ([システム管理] > [暗号化] > [データベース暗号化]) を使用してこのキーを作成できます。
-
解読するデータベースの CACHE.DAT ファイルが格納されているディレクトリで、そのファイルへのパスを指定して cvencrypt ユーティリティを実行します。例えば、test1 というデータベースが C:\MyDBs ディレクトリにあり、Caché が C:\InterSystems\MyCache ディレクトリにインストールされている場合、以下のようにこのユーティリティを実行します。
C:\MyDBs\test1>..\..\InterSystems\MyCache\bin\cvencrypt CACHE.DAT
このユーティリティを初めて起動したときは、まずユーティリティ自体に関する情報メッセージが表示され、次にデータベースから得られた情報が表示されます。
-
このデータベースで使用されている暗号化に関する情報が以下のように表示されます。
Database is encrypted (Key ID = E1D00BC2-07F4-4495-9562-394B26A2B05B).
次に、実行するアクションの指定を促す以下のメッセージが表示されます。
1) Decrypt 2) Re-encrypt with a different key 3) Quit
-
新しいデータベース暗号化キーでデータベースを再暗号化するには、「2」と入力して Enter を押します。
データベースの再暗号化処理を開始するには、データベースの暗号化に現在使用されているキーへのアクセス権を持っている必要があります。このキー・ファイルの絶対パスの入力を促す、以下のメッセージが表示されます。それを入力すると、管理者のユーザ名とパスワードの入力を促すメッセージが表示されます。
Access original database encryption key. (key ID = E1D00BC2-07F4-4495-9562-394B26A2B05B) Keyfile: C:\encdb\dek1 Username: dek-admin1 Password: <characters shielded during entry>
-
その情報を正しく入力すると、データベースの再暗号化に使用するキー・ファイルの絶対パスの入力を促す、以下のようなメッセージが表示されます。その情報を入力すると、管理者のユーザ名とパスワードの入力を促すメッセージが表示されます。
Access new database encryption key. Keyfile (full path): C:\encdb\dek2 Username: dek-admin2 Password: <characters shielded during entry>
この 2 番目のキーに関する情報を入力すると、さらにメッセージが表示されます。このメッセージは、この操作では所定位置のデータが変更されるので、操作を続行する前に、データが適切にバックアップ済みであることを確認するように求めるものです。
続行する場合は、「Y」と入力します。
この処理を実行することを確認すると、ユーティリティによってデータベースが暗号化されます。暗号化が実行されている間は、処理の進行状況と共に、処理を中断しないように呼びかける以下のメッセージが表示されます。
Do not interrupt this process! Processed: 16000 blocks (10%)
Caution:未完了な状態で処理を中断すると、データベースは古いキーで暗号化されたデータと新しいキーで暗号化されたデータが混在した状態になります。このようなデータベースを Caché で読み取ることはできないので、すべてのデータが失われることになります。
-
処理が完了すると、進行状況の表示が、処理の終了を示す以下のようなメッセージに変わります。
Processed: 153600 blocks (done!)
cvencrypt でコマンド行オプションを使用する
cvencrypt を各種コマンド行オプションで起動できます。これらを使用すると、1 つのコマンドで 1 つ以上のデータベースまたはジャーナル・ファイルを暗号化、解読、または再暗号化することができます。以下のいずれかのオプションを指定する必要があります:-dbfile、-dbfilelist、-jrnfile、または -jrnfilelist。
cvencrypt の唯一の引数としてジャーナル・ファイルまたはデータベース・ファイルのパスを指定することもできます。これにより、プログラムがインタラクティブ・モードでファイルを解読または暗号化するように指示されます。この場合、cvencrypt は、ジャーナル・ファイルまたはデータベース・ファイルのどちらで動作しているかを判断します。ファイルを変更する前に、確認プロンプトが表示されます。
-inkeyfile と -outkeyfile のオプションの動作は、処理するデータベースが暗号化されたデータベースか暗号化されていないデータベースか、暗号化されたデータベースが存在するかどうか、それらのオプションのどちらかまたは両方が存在するかどうかによって異なります。詳細は、各オプションの説明を参照してください。
使用可能なコマンド行オプションは以下のとおりです。
暗号化、解読、または再暗号化されるデータベース・ファイル。argument は、シンプルなファイル名、相対パスのあるファイル名、または絶対パスのあるファイル名にできます。
処理対象データベースのリストを含むファイルの名前。argument は、シンプルなファイル名、相対パスのあるファイル名、または絶対パスのあるファイル名にできます。リストのあるファイルで、各エントリはデータベース・ファイルの名前です。その名前は、シンプルなファイル名、相対パスのあるファイル名、または絶対パスのあるファイル名にできます。各データベース・ファイルの名前を句読点文字や区切り文字を追加しないでその固有の行に配置します。
入力キー・ファイル。このファイルには、暗号化された cvencrypt への入力を解読するためのデータベース・キーが格納されます。暗号化されていないデータベースを処理する場合、-inkeyfile オプションには効果はありません。暗号化されているデータベースを処理する場合、cvencrypt では入力キー・ファイルを使用して、データベースを解読します。暗号化されているデータベースを処理する際、入力キー・ファイルと出力キー・ファイルの両方がある場合、cvencrypt では入力キー・ファイルを使用してデータベースを解読し、出力キー・ファイルを使用して再暗号化します。入力キー・ファイルと出力キー・ファイルで同じデータベース暗号化キーを保持している場合、cvencrypt は実行されません。
データベース暗号化キーを入力キー・ファイルから抽出するために (-inuser ユーザ名と共に) 使用するパスワード。-inpass オプションを cvencrypt で使用しない場合、パスワードを求めるプロンプトが表示されます。
-inpass オプションを使用すると、cvencrypt 処理に関連するデータの一部として、このパスワードがオペレーティング・システムのツールで参照可能になる場合があります。例えば、あるバージョンの UNIX® では、ps コマンドで -inpass パスワードの値が表示されます。この情報を持ってはならない人に情報が露出することを懸念する場合、-inpass オプションを使用しないでください。cvencrypt を起動すると、パスワードの入力を求めるプロンプトが表示されます。パスワードは、処理に関連するデータの一部として表示されません。
暗号化、解読、または再暗号化されるジャーナル・ファイル。argument は、シンプルなファイル名、相対パスのあるファイル名、または絶対パスのあるファイル名にできます。
出力ジャーナル・ファイルは、入力ファイルのエンディアンを保持します。これは、ネイティブのエンディアンと異なる場合があります。
処理対象ジャーナル・ファイルのリストを含むファイルの名前。argument は、シンプルなファイル名、相対パスのあるファイル名、または絶対パスのあるファイル名にできます。リストのあるファイルで、各エントリはジャーナル・ファイルの名前です。その名前は、シンプルなファイル名、相対パスのあるファイル名、または絶対パスのあるファイル名にできます。各ジャーナル・ファイルの名前を句読点文字や区切り文字を追加しないでその固有の行に配置します。
出力ジャーナル・ファイルは、入力ファイルのエンディアンを保持します。これは、ネイティブのエンディアンと異なる場合があります。
データベース暗号化キーを入力キー・ファイルから抽出するために (-inpass パスワードと共に) 使用する管理者名。-inuser オプションを cvencrypt で使用しない場合、ユーザ名を求めるプロンプトが表示されます。
出力キー・ファイル。このファイルには cvencrypt からの出力を暗号化するためのデータベース・キーが格納されます。暗号化されていないデータベースを処理する場合、cvencrypt では出力キー・ファイルを使用して、データベースを暗号化します。暗号化されているデータベースに、-outkeyfile オプションの値はあるが、-inkeyfile オプションの値が指定されていない場合、その処理の際、cvencrypt は何も行いません。暗号化されているデータベースを処理する際、入力キー・ファイルと出力キー・ファイルの両方の値がある場合、cvencrypt では入力キー・ファイルを使用してデータベースを解読し、出力キー・ファイルを使用して再暗号化します。入力キー・ファイルと出力キー・ファイルで同じデータベース暗号化キーを保持している場合、cvencrypt は実行されません。
データベース暗号化キーを出力キー・ファイルから抽出するために (-outuser 管理者名と共に) 使用するパスワード。-outpass オプションを cvencrypt で使用しない場合、パスワードを求めるプロンプトが表示されます。
-outpass オプションを使用すると、cvencrypt 処理に関連するデータの一部として、このパスワードがオペレーティング・システムのツールで参照可能になる場合があります。例えば、UNIX® では、ps コマンドで -outpass パスワードの値が表示されます。この情報を持ってはならない人に情報が露出することを懸念する場合、-outpass オプションを使用しないでください。cvencrypt を起動すると、パスワードの入力を求めるプロンプトが表示されます。パスワードは、処理に関連するデータの一部として表示されません。
データベース暗号化キーを出力キー・ファイルから抽出するために (-outpass パスワードと共に) 使用する管理者名。-outuser オプションを cvencrypt で使用しない場合、ユーザ名を求めるプロンプトが表示されます。