このページで
コモン クライテリアと FIPS 用語とサポートされている暗号化アルゴリズムについて
コモン クライテリアと FIPS 条件の定義とサポートされているアルゴリズムを使用して、FIPS モードの Junos OS を理解するのに役立ちます。
用語
| Common Criteria | 情報技術のコモン クライテリアは、共通の標準セットに対するセキュリティ製品の評価を許可する 28 か国が署名した国際契約です。 |
| Security Administrator | コモン クライテリアでは、TOE のユーザー アカウントには、ユーザー ID(ユーザー名)、認証データ(パスワード)、ロール(権限)の属性があります。セキュリティ管理者は、定義されたログインクラス「security-admin」に関連付けられています。このログインクラスには、管理者がJunos OSの管理に必要なすべてのタスクを実行できるようにするために必要な権限が設定されています。 |
| NDcPP | 2020年3月27日付けネットワークデバイスバージョン2.2eのコラボレーション保護プロファイル。 |
| Critical security parameter (CSP) | セキュリティー関連情報(秘密鍵と秘密鍵の暗号化キー、パスワードや個人 ID 番号(PIC)などの認証データなど)、その開示や変更によって暗号化モジュールや保護する情報のセキュリティーが損なわれる可能性があります。詳細については、 FIPS モードの Junos OS の運用環境についてを参照してください。 |
| Cryptographic module | 承認されたセキュリティ機能(暗号化アルゴリズムと鍵生成を含む)を実装し、暗号化境界内に含まれるハードウェア、ソフトウェア、およびファームウェアのセット。NFX350ネットワークサービスプラットフォームは、FIPS 140-2レベル 1の認定を受けています。固定構成 NFX350 デバイスの場合、暗号化モジュールは NFX350 デバイスのケースです。モジュラー型NFX350デバイスの場合、暗号化モジュールはルーティングエンジンです。 |
| Crypto Officer | NFX350 デバイス上で FIPS モードで Junos OS の安全な有効化、構成、監視、保守を行う適切な権限を持つ人。詳細については、「 FIPS モードの Junos OS の役割とサービスについて」を参照してください。 |
| FIPS | 連邦情報処理標準。FIPS 140-2 は、セキュリティーおよび暗号化モジュールの要件を指定します。FIPS モードの Junos OS は、FIPS 140-2 レベル 1 に準拠しています。 |
| FIPS maintenance role | Crypto Officerがハードウェアやソフトウェアの診断などの物理的な保守または論理的な保守サービスを実行すると想定する役割。FIPS 140-2 に準拠するために、Crypto Officer は FIPS 保守ロールとの出入りでルーティング エンジンをゼロ化し、プレーンテキストの秘密鍵と保護されていない CSP をすべて消去します。
メモ:
FIPS 保守ロールは、FIPS モードの Junos OS ではサポートされていません。 |
| KATs | 既知の解答テスト。FIPS で承認された暗号アルゴリズムの出力を検証し、一部の Junos OS モジュールの完全性をテストするシステム自己テスト。詳細については、「 FIPS Self-Tests について」を参照してください。 |
| SSH | セキュアでないネットワーク全体のリモート アクセスに強力な認証と暗号化を使用するプロトコル。SSHは、リモートログイン、リモートプログラム実行、ファイルコピーなどの機能を提供します。これは、UNIX 環境では 、 、 |
| Zeroization | FIPS 暗号化モジュールとして動作する前、または NFX350 デバイスを FIPS 以外の操作に再利用する準備中に、NFX350 デバイス上のすべての CSP やその他のユーザー作成データを消去します。Crypto Officerは、CLI操作コマンドでシステムをゼロにすることができます。 |
サポートされている暗号アルゴリズム
FIPS 140-2 に準拠する場合は、FIPS が承認した暗号化アルゴリズムのみを FIPS モードの Junos OS で使用します。
FIPS モードでは、以下の暗号アルゴリズムがサポートされています。対称的な方法は暗号化と暗号化解除に同じキーを使用し、非対称メソッドは暗号化と復号化に異なる鍵を使用します。
| AES | FIPS PUB 197で定義されている高度暗号化標準(AES)。AESアルゴリズムは、128ビット、192ビット、または256ビットのキーを使用して、128ビットのブロックでデータを暗号化および復号化します。 |
| ECDH | 楕円曲線 Diffie-HellmanDiffie-Hellman 鍵交換アルゴリズムの変種で、有限場上の楕円曲線の代数構造に基づく暗号化を使用します。ECDH では、それぞれが楕円曲線の公開鍵と秘密鍵のペアを持つ 2 つの当事者が、安全でないチャネル上で共有シークレットを確立することを可能にします。共有シークレットは、鍵として使用するか、対称鍵暗号方式を使用して後続の通信を暗号化するための別の鍵を導き出すために使用できます。 |
| ECDSA | 楕円曲線デジタル 署名アルゴリズム。デジタル署名アルゴリズム(DSA)の変種で、有限フィールド上の楕円曲線の代数構造に基づいて暗号化を使用します。楕円曲線のビット サイズによって、キーの復号化の難しさが決まります。ECDSA に必要と考えられる公開鍵は、セキュリティ レベルの約 2 倍のサイズ(ビット単位)です。OpenSSH で P-256、P-384、P-521 カーブを使用した ECDSA を設定できます。 |
| HMAC | RFC 2104で「メッセージ認証のキーハッシュ」と定義されているHMACは、ハッシュアルゴリズムと暗号化キーを組み合わせてメッセージ認証を行います。FIPS モードの Junos OS では、HMAC は秘密鍵と共に、繰り返し暗号化ハッシュ関数 SHA-1、SHA-256、SHA-512 を使用します。 |
| SHA-256 and SHA-512 | FIPS PUB 180-2 で定義された SHA-2 規格に属するセキュア ハッシュ アルゴリズム(SHA)。NIST によって開発された SHA-256 は、256 ビット ハッシュ ダイジェストを生成し、SHA-512 は 512 ビット ハッシュ ダイジェストを生成します。 |