FIPS 動作モードでの Junos OS について
連邦情報処理標準(FIPS)140-2では、暗号化機能を実行するハードウェアとソフトウェアのセキュリティレベルを定義しています。Junos FIPS モードは、連邦情報処理規格(FIPS)140-2 に準拠した Junos オペレーティング システム(Junos OS)のバージョンです。
FIPS 140-2 レベル 2 環境で SRX シリーズ デバイスを動作させるには、Junos OS CLI(コマンドライン インターフェイス)からデバイス上で FIPS モードの動作を有効化および設定する必要があります。
Junos OS リリース 20.2R1 SRX345 および SRX380 デバイスでは、FIPS 140-2 レベル 2 の認定資格が取得されています。
暗号オフィサーは、Junos OS リリース 20.2R1 で FIPS 動作モードを有効にし、システムおよび構成を表示できるその他の FIPS ユーザー用のキーとパスワードを設定します。どちらのユーザー タイプも、個々のユーザー設定で許可されるように、デバイス上の通常の設定タスク(インターフェイス タイプの変更など)を実行できます。
デバイスの安全な配送を確認し、脆弱なポートに改ざん防止シールを適用してください。
デバイスの暗号化境界について
FIPS 140-2 に準拠するには、デバイス上の各暗号化モジュールの周囲に定義済みの暗号化境界が必要です。FIPS 動作モードの Junos OS では、暗号化モジュールが FIPS 認定ディストリビューションに含まれていないソフトウェアを実行できなくなり、FIPS が承認した暗号化アルゴリズムのみを使用できます。コンソールに表示したり、外部のログ ファイルに書き込まれたりするなどして、パスワードやキーなどの重要なセキュリティ パラメーター(CSP)はモジュールの暗号化境界を越えできません。
バーチャルシャーシ機能は、FIPSの動作モードではサポートされていません。ジュニパーネットワークスによるテストはされていません。FIPS 動作モードでバーチャル シャーシを設定しないでください。
暗号化モジュールを物理的に保護するために、すべてのジュニパーネットワークスデバイスには、USBポートとミニUSBポートに改ざん防止シールが必要です。
FIPS 動作モードが非 FIPS 動作モードと異なる方法
FIPS 以外の動作モードの Junos OS とは異なり、FIPS 動作モードの Junos OS は 変更できない運用環境です。さらに、FIPS モードの Junos OS は、非 FIPS 動作モードの Junos OS とは次の点で異なります。
すべての暗号化アルゴリズムの自己テストは、起動時に FIPS モードと非 FIPS モードの両方で実行されます。ただし、結果は FIPS モードでのみコンソールに表示されます。
乱数と鍵生成の自己テストが継続的に実行されます。
DES(データ暗号化標準)や MD5 などの強度の低い暗号化アルゴリズムは無効です。
FIPS モードでは HMAC-DRBG ランダム ナンバー ジェネレータを使用し、非 FIPS モードでは Junos デフォルトのヤロウランダム ナンバー ジェネレータを使用します。
モジュールが公開キーと秘密鍵のペアを生成した場合のペアワイズ整合性テストは、FIPSモードでのみ実行されます。
DH および ECDH 公開キー検証は、FIPS モードでのみ実行されます。
管理接続の弱い接続や暗号化されていない接続は設定しないでください。
Junos-FIPS 管理者パスワードの長さは 10 文字以上にする必要があります。
暗号化キーは送信前に暗号化する必要があります。
FIPS 140-2 規格は、National Institute of Standards and Technology(NIST)( https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf)からダウンロードできます。
FIPS動作モードでのJunos OSの検証済みバージョン
Junos OS リリースが NIST で検証済みかどうかを確認するには、ジュニパーネットワークスの Web サイト(https://apps.juniper.net/compliance/fips.html)のコンプライアンス ページを参照してください。