$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it is based on.
...
--verify
Check the journal file for internal consistency. If the file has been generated with FSS enabled and the FSS
verification key has been specified with --verify-key=, authenticity of the journal file is verified.
--verify-key=
Specifies the FSS verification key to use for the --verify operation.
afaik, iniciar sesión en un sistema PKI solo funciona si tenemos la clave privada.
afaik el consejo: "La clave de verificación debe almacenarse externamente". ¿Es que la clave privada (?) debe almacenarse en otro lugar?
P: Entonces, ¿cómo se firman los mensajes de registro cifrados en esta situación?
afaik si los registros encriptados no están firmados, entonces un atacante puede falsificar los registros encriptando los modificados, y será aceptado, ya que no están firmados. Pero mantener la clave privada allí también es malo, ya que podrían ser firmados por el atacante.
fuente