Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Junos OS における共有シークレットの強化

 

共有シークレットの強化について

Junos OS 内の既存の共有シークレット ($9 $ format) は難読化アルゴリズムを使用しています。これは、構成の機密情報に対する非常に強力な暗号化ではありません。構成の機密を実現する強力な暗号化が必要な場合は、マスターパスワードを設定できます。マスターパスワードは、AES256 で使用される暗号化キーを取得して、構成の機密を暗号化するために使用されます。この新しい暗号化方式では、$8 $ 書式設定された文字列を使用しています。

Junos OS リリース 15.1 X49-D50 では、新しい CLI コマンドを導入して、設定の機密を暗号化するためのシステムマスターパスワードを設定しています。マスターパスワードは、RADIUS パスワード、IKE 事前共有鍵、その他の共有シークレットなど、Junos OS 管理プロセス (交換) 構成におけるシークレットを暗号化します。マスターパスワード自体は、構成の一部として保存されません。パスワードの品質は強度で評価され、脆弱なパスワードを使用した場合にはデバイスからフィードバックがあります。

マスターパスワードは、パスワードベースのキー派生機能 (PBKDF2) に対する入力として使用され、暗号化キーを生成します。このキーは、Galois/Counter モード (AES256) の高度な暗号化規格への入力として使用されます。ユーザーが入力したプレーンテキストは、暗号化されたテキスト (暗号テキスト) を生成する暗号アルゴリズム (キー付き) によって処理されます。認識 図 1

図 1: マスターパスワード暗号化
マスターパスワード暗号化

$8 $ 構成シークレットは、同じマスタパスワードを使用しているデバイス間でのみ共有できます。

$ 8 $ 暗号化されたパスワードは、次のような形式になっています。

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted。マスター 表 1パスワード形式の詳細については、を参照してください。

表 1: $ 8 $-暗号化されたパスワード形式

指定説明

crypt-algo

暗号化/解読アルゴリズムが使用されます。現在は AES256-GCM のみがサポートされています。

ハッシュ-algo

PBKDF2 のキー派生に使用されるハッシュ (prf) アルゴリズムです。

繰り返し

PBKDF2 ハッシュ関数で使用する反復回数。現在の反復回数-デフォルトは100です。反復回数によってハッシュ数が遅くなるため、攻撃者の推測が遅くなります。

salt

暗号化によって生成される ASCII64 エンコードされた擬似乱数のシーケンス。 salt (ランダムでも既知の文字列) がパスワードを使用し、PBKDF2 のキー派生に対して入力します。

4

AES256-GCM 暗号化機能の初期ベクトルとして使用される、暗号化中に生成された ASCII64 エンコードされた擬似乱数バイトのシーケンス。

tag

タグの ASCII64 エンコード表現。

暗号化されたパスワードの ASCII64 エンコード表現。

ASCII64 エンコーディングは Base64 (RFC 4648) との互換性がありますが“、”パディングなし (文字 =) は文字列を短くするために使用されます。たとえば、以下のように記述します。 $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD

/Hejww$okhBlc0cGakSqYxKww

シャーシクラスターに関する考慮事項

SRX シリーズのデバイスでシャーシクラスターを定義する際には、以下の制約事項に注意してください。

  • SRX シリーズデバイスについては、まず各ノードで master パスワードを設定してから、クラスターを構築します。同じマスタパスワードを各ノードで設定する必要があります。

  • シャーシクラスタモードでは、マスターパスワードは削除できません。

マスターパスワードの変更は、シャーシのクラスタリングの中断を意味します。そのため、両方のノードのパスワードを個別に変更する必要があります。

Release History Table
リリース
説明
Junos OS リリース 15.1 X49-D50 では、新しい CLI コマンドを導入して、設定の機密を暗号化するためのシステムマスターパスワードを設定しています。