このページの目次
例: FIPS セルフテストの設定
この例では、FIPS セルフテストを定期的に実行するように設定する方法を示しています。
ハードウェアおよびソフトウェア要件
FIPS セルフテストを設定するには、管理者権限が必要です。
デバイスは、FIPSモードソフトウェアで評価版のJunos OSを実行している必要があります。
概要
FIPSセルフテストは、次の既知の回答テスト(CAT)スイートで構成されています。
-
kernel_kats—カーネル暗号化ルーチンの KAT -
md_kats- libmd および libc の KAT -
openssl_kats- OpenSSL 暗号化実装用の KAT -
quicksec_kats—KAT for QuickSec Toolkit 暗号化の実装 -
XLP- 暗号化ライブラリ(XLP)がMS-MIC上で実行され、IPsec向けの暗号化サービスを提供します。
この例では、FIPS セルフテストは毎週水曜日のニューヨーク市の午前 9:00 に実行されます。
毎週のテストの代わりに、 および day-of-month ステートメントを含めるmonthことで毎月のテストを構成できます。
KAT セルフテストが失敗すると、テスト失敗の詳細が記載されたログ メッセージがシステム ログ メッセージ ファイルに書き込まれます。その後、システムはパニックになり、再起動します。
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI [edit] にコマンドを貼り付けます。
set system fips self-test periodic start-time 09:00 set system fips self-test periodic day-of-week 3
手順
手順
FIPSセルフテストを設定するには、次の手順に従います。
毎週水曜日の午前 9:00 に実行されるように FIPS セルフテストを設定します。
[edit system fips self-test] user@host# set periodic start-time 09:00 user@host# set periodic day-of-week 3
デバイスの設定が完了したら、設定をコミットします。
[edit system fips self-test] user@host# commit
結果
設定モードから、 コマンドを発行 show system して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show system
fips {
self-test {
periodic {
start-time "09:00";
day-of-week 3;
}
}
}
検証
設定が正常に機能していることを確認します。
目的
FIPS セルフテストが有効になっていることを確認します。
アクション
コマンドを発行 request system fips self-test して、FIPS セルフテストを手動で実行します。
コマンドを発行 request system fips self-test すると、システムログファイルが更新され、実行されたKATが表示されます。システムログファイルを表示するには、 コマンドを実行します file show /var/log/messages 。
user@host> file show /var/log/messages
mgd: Running FIPS Self-tests mgd: Testing kernel KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-384 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: AES128-CMAC Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: Testing MACSec KATS: mgd: AES128-CMAC Known Answer Test: Passed mgd: AES256-CMAC Known Answer Test: Passed mgd: AES-ECB Known Answer Test: Passed mgd: AES-KEYWRAP Known Answer Test: Passed mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: Testing OpenSSL KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: FIPS ECDSA Known Answer Test: Passed mgd: FIPS ECDH Known Answer Test: Passed mgd: FIPS RSA Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-SSH-SHA256 Known Answer Test: Passed mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: Passed mgd: KAS-FFC-EPHEM-NOKC Known Answer Test: Passed mgd: Testing QuickSec 7.0 KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-veriexec: no fingerprint for file='/sbin/kats/cannot-exec' fsid=87 fileid=51404 gen=1 uid=0 pid=1363 SIGN Known Answer Test: Passed mgd: SSH-ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing QuickSec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: Testing file integrity: mgd: File integrity Known Answer Test: Passed mgd: Testing crypto integrity: mgd: Crypto integrity Known Answer Test: Passed mgd: Expect an exec Authentication error... mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Authentication error mgd: FIPS Self-tests Passed