$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it is based on.
...
--verify
Check the journal file for internal consistency. If the file has been generated with FSS enabled and the FSS
verification key has been specified with --verify-key=, authenticity of the journal file is verified.
--verify-key=
Specifies the FSS verification key to use for the --verify operation.
afaik, la connexion à un système PKI ne fonctionne que si nous avons la clé privée.
afaik le conseil: "La clé de vérification doit être stockée en externe." est-ce que la clé privée (?) doit être stockée à un autre endroit?
Q: Comment les messages de journal chiffrés sont-ils signés dans cette situation?
afaik si les journaux chiffrés ne sont pas signés, alors un attaquant peut truquer les journaux, en chiffrant les journaux modifiés, et il sera accepté, car ils ne sont pas signés. Mais garder la clé privée là-bas est également mauvais, car ils pourraient être signés par l'attaquant.
la source