$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it is based on.
...
--verify
Check the journal file for internal consistency. If the file has been generated with FSS enabled and the FSS
verification key has been specified with --verify-key=, authenticity of the journal file is verified.
--verify-key=
Specifies the FSS verification key to use for the --verify operation.
afaik、PKIシステムへのサインインは、秘密鍵がある場合にのみ機能します。
「確認キーは外部に保存する必要があります。」秘密鍵(?)は別の場所に保存する必要がありますか?
Q:では、暗号化されたログメッセージはこの状況でどのように署名されるのですか?
暗号化されたログが署名されていない場合、攻撃者は変更されたログを暗号化することにより、ログを偽造でき、署名されていないため、受け入れられます。しかし、秘密鍵もそこに保持することは、攻撃者によって署名される可能性があるため、やはり悪いことです。