SUR CETTE PAGE
Comprendre la terminologie du mode de fonctionnement FIPS et les algorithmes cryptographiques pris en charge
Utilisez les définitions des termes FIPS et les algorithmes pris en charge pour comprendre Junos OS en mode de fonctionnement FIPS.
Terminologie FIPS
| Critical security parameter (CSP) | Informations relatives à la sécurité, telles que les clés cryptographiques secrètes et privées et les données d’authentification telles que les mots de passe et les numéros d’identification personnels (NIP), dont la divulgation ou la modification peut compromettre la sécurité d’un module cryptographique ou des informations qu’il protège. |
| Cryptographic module | Ensemble de matériel, de logiciels et de microprogrammes qui implémente les fonctions de sécurité approuvées (y compris les algorithmes cryptographiques et la génération de clés) et qui se trouve dans les limites cryptographiques. Les équipements SRX Series sont certifiés FIPS 140-3 niveau 2. |
| Security Administrator | Personne disposant des autorisations appropriées et responsable de l’activation, de la configuration, de la surveillance et de la maintenance sécurisées de Junos OS en mode de fonctionnement FIPS sur un équipement. Pour plus d’informations, voir Présentation de Junos OS en mode de fonctionnement FIPS. |
| ESP | Protocole ESP (Encapsulating Security Payload). Partie du protocole IPsec qui garantit la confidentialité des paquets grâce au chiffrement. Le protocole garantit que si un paquet ESP est déchiffré avec succès et qu’aucune autre partie ne connaît la clé secrète partagée par les pairs, le paquet n’a pas été mis sur écoute pendant le transit. |
| FIPS | Normes fédérales de traitement de l’information. La norme FIPS 140-3 spécifie la configuration requise pour les modules de sécurité et cryptographiques. Junos OS en mode de fonctionnement FIPS est conforme à la norme FIPS 140-3 Niveau 2. |
| IKE | L’IKE (Internet Key Exchange) fait partie d’IPsec et fournit des moyens de négocier en toute sécurité les clés privées partagées dont les parties d’en-tête d’authentification (AH) et ESP d’IPsec ont besoin pour fonctionner correctement. IKE utilise les méthodes d’échange de clés Diffie-Hellman et est facultatif dans IPsec. (Les clés partagées peuvent être saisies manuellement aux points de terminaison.) |
| IPsec | Le protocole de sécurité IP (IPsec). Un moyen standard d’ajouter de la sécurité aux communications Internet. Une association de sécurité IPsec (SA) établit une communication sécurisée avec un autre module cryptographique FIPS au moyen d’une authentification et d’un chiffrement mutuels. |
| KATs | Tests de réponses connus. Auto-tests du système qui valident la sortie des algorithmes cryptographiques approuvés pour FIPS et testent l’intégrité de certains modules Junos OS. Pour plus d’informations, consultez Présentation des autotests FIPS. |
| SA | Association de sécurité (SA). Connexion entre hôtes qui leur permet de communiquer en toute sécurité en définissant, par exemple, comment ils échangent des clés privées. En tant qu’administrateur de sécurité, vous devez configurer manuellement une SA interne sur les appareils exécutant Junos OS en mode de fonctionnement FIPS. Toutes les valeurs, y compris les clés, doivent être spécifiées statiquement dans la configuration. |
| SPI | Index des paramètres de sécurité (SPI). Identificateur numérique utilisé avec l’adresse de destination et le protocole de sécurité dans IPsec pour identifier une SA. Étant donné que vous configurez manuellement la SA pour Junos OS en mode de fonctionnement FIPS, le SPI doit être entré en tant que paramètre plutôt que dérivé aléatoirement. |
| SSH | Protocole qui utilise une authentification et un chiffrement forts pour l’accès à distance sur un réseau non sécurisé. SSH fournit la connexion à distance, l’exécution de programmes à distance, la copie de fichiers et d’autres fonctions. Il est conçu comme un remplacement sécurisé de |
| Zeroization | Effacement de tous les CSP et autres données créées par l’utilisateur sur un appareil avant son fonctionnement en tant que module cryptographique FIPS, ou en préparation de la réaffectation de l’équipement pour un fonctionnement non FIPS. L’administrateur de sécurité peut mettre le système à zéro à l’aide d’une commande opérationnelle CLI. |
Algorithmes cryptographiques pris en charge
Chaque implémentation d’un algorithme est vérifiée par une série d’auto-tests de test de réponses connues (KAT). Tout échec d’auto-test entraîne un état d’erreur FIPS.
Pour assurer la conformité FIPS 140-3, utilisez uniquement des algorithmes de chiffrement approuvés FIPS dans Junos OS en mode de fonctionnement FIPS.
Les algorithmes de chiffrement suivants sont pris en charge en mode de fonctionnement FIPS. Les méthodes symétriques utilisent la même clé pour le chiffrement et le déchiffrement, tandis que les méthodes asymétriques (de préférence) utilisent des clés différentes pour le chiffrement et le déchiffrement.
| AES | La norme AES (Advanced Encryption Standard), définie dans FIPS PUB 197. L’algorithme AES utilise des clés de 128, 192 ou 256 bits pour chiffrer et déchiffrer les données par blocs de 128 bits. |
| Diffie-Hellman | Méthode d’échange de clés dans un environnement non sécurisé (tel qu’Internet). L’algorithme Diffie-Hellman négocie une clé de session sans envoyer la clé elle-même à travers le réseau en permettant à chaque partie de choisir une clé partielle indépendamment et d’envoyer une partie de cette clé à l’autre. Chaque partie calcule ensuite une valeur de clé commune. Il s’agit d’une méthode symétrique et les clés ne sont généralement utilisées que pendant une courte période, jetées et régénérées. |
| ECDH | Courbe elliptique Diffie-Hellman. Une variante de l’algorithme d’échange de clés de Diffie-Hellman qui utilise la cryptographie basée sur la structure algébrique des courbes elliptiques sur des corps finis. L’ECDH permet à deux parties, chacune ayant une paire de clés public-privé à courbe elliptique, d’établir un secret partagé sur un canal non sécurisé. Le secret partagé peut être utilisé comme clé ou pour dériver une autre clé pour chiffrer les communications suivantes à l’aide d’un chiffrement à clé symétrique. |
| ECDSA | Algorithme de signature numérique à courbe elliptique. Une variante de l’algorithme de signature numérique (DSA) qui utilise la cryptographie basée sur la structure algébrique des courbes elliptiques sur des corps finis. La taille en bits de la courbe elliptique détermine la difficulté de déchiffrer la clé. La clé publique censée être nécessaire pour ECDSA est environ deux fois plus grande que le niveau de sécurité, en bits. ECDSA utilisant la courbe P-256, P-384 ou P-521 peut être configuré sous OpenSSH. |
| HMAC | Défini comme « Keyed-Hashing for Message Authentication » dans la RFC 2104, HMAC combine des algorithmes de hachage avec des clés cryptographiques pour l’authentification des messages. Pour Junos OS en mode de fonctionnement FIPS, HMAC utilise la fonction de hachage cryptographique itérée SHA-1 (désignée HMAC-SHA1) avec une clé secrète. |