$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it is based on.
...
--verify
Check the journal file for internal consistency. If the file has been generated with FSS enabled and the FSS
verification key has been specified with --verify-key=, authenticity of the journal file is verified.
--verify-key=
Specifies the FSS verification key to use for the --verify operation.
afaik, das Anmelden in einem PKI-System funktioniert nur, wenn wir den privaten Schlüssel haben.
afaik der Hinweis: "Der Bestätigungsschlüssel sollte extern gespeichert werden." Soll der private Schlüssel (?) an einem anderen Ort gespeichert werden?
F: Wie werden die verschlüsselten Protokollnachrichten in dieser Situation signiert?
afaik Wenn die verschlüsselten Protokolle nicht signiert sind, kann ein Angreifer die Protokolle fälschen, indem er die geänderten verschlüsselt. Dies wird akzeptiert, da sie nicht signiert sind. Aber auch dort den privaten Schlüssel zu behalten ist wieder schlecht, da sie vom Angreifer signiert werden könnten.