$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it is based on.
...
--verify
Check the journal file for internal consistency. If the file has been generated with FSS enabled and the FSS
verification key has been specified with --verify-key=, authenticity of the journal file is verified.
--verify-key=
Specifies the FSS verification key to use for the --verify operation.
afaik, вход в систему PKI работает, только если у нас есть закрытый ключ.
afaik совет: «Ключ проверки должен храниться извне». Это закрытый ключ (?) должен храниться в другом месте?
Q: Так как зашифрованные сообщения журнала подписываются в этой ситуации?
afaik, если зашифрованные журналы не подписаны, то злоумышленник может подделать журналы, зашифровав измененные, и это будет принято, поскольку они не подписаны. Но хранить закрытый ключ там тоже плохо, так как он может быть подписан злоумышленником.
источник