$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it is based on.
...
--verify
Check the journal file for internal consistency. If the file has been generated with FSS enabled and the FSS
verification key has been specified with --verify-key=, authenticity of the journal file is verified.
--verify-key=
Specifies the FSS verification key to use for the --verify operation.
depois, entrar em um sistema PKI funciona apenas se tivermos a chave privada.
após o aviso: "A chave de verificação deve ser armazenada externamente." é que a chave privada (?) deve ser armazenada em outro local?
P: Então, como as mensagens de log criptografadas são assinadas nessa situação?
se os logs criptografados não forem assinados, um invasor poderá falsificar os logs, criptografando os modificados, e ele será aceito, uma vez que eles não são assinados. Mas manter a chave privada lá também é ruim novamente, pois elas podem ser assinadas pelo invasor.