このページの目次
例: FIPS セルフテストの設定
この例では、FIPS セルフテストを定期的に実行するように設定する方法を示しています。
ハードウェアおよびソフトウェア要件
-
FIPS セルフテストを設定するには、管理者権限が必要です。
-
デバイスは、FIPSモードソフトウェアで評価版のJunos OSを実行している必要があります。
概要
FIPSセルフテストは、次の既知の回答テスト(CAT)スイートで構成されています。
-
kernel_kats
—カーネル暗号化ルーチンの KAT -
md_kats
- libmd および libc の KAT -
quicksec_kats
—KAT for QuickSec Toolkit 暗号化の実装 -
openssl_kats
- OpenSSL 暗号化実装用の KAT -
ssh_ipsec_kats
- SSH IPsec Toolkit 暗号化実装用 KAT -
macsec_kats
—MACsec 暗号化を実装するための KAT
この例では、FIPS セルフテストは毎週水曜日のニューヨーク市の午前 9:00 に実行されます。
毎週のテストの代わりに、 および day-of-month
ステートメントを含めるmonth
ことで毎月のテストを構成できます。
KAT セルフテストが失敗すると、テスト失敗の詳細が記載されたログ メッセージがシステム ログ メッセージ ファイルに書き込まれます。その後、システムはパニックになり、再起動します。
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 階層レベルのCLI [edit]
にコマンドをコピーして貼り付けます。
set system fips self-test periodic start-time 09:00 set system fips self-test periodic day-of-week 3
手順
FIPS セルフテストを設定するには、暗号担当官の認証情報を使用してデバイスにログインします。
-
毎週水曜日の午前 9:00 に実行されるように FIPS セルフテストを設定します。
[edit system fips self-test] crypto-officer@hostname:fips# set periodic start-time 09:00 crypto-officer@hostname:fips# set periodic day-of-week 3
-
デバイスの設定が完了したら、設定をコミットします。
[edit system fips self-test] crypto-officer@hostname:fips# commit
結果
設定モードから、 コマンドを発行 show system
して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
crypto-officer@hostname:fips# show system fips { self-test { periodic { start-time "09:00"; day-of-week 3; } } }
検証
設定が正常に機能していることを確認します。
FIPSセルフテストの検証
目的
FIPS セルフテストが有効になっていることを確認します。
アクション
コマンドを発行 request system fips self-test
してFIPSセルフテストを手動で実行するか、デバイスを再起動します。
request system fips self-test コマンドを発行するか、デバイスを再起動すると、システム ログ ファイルが更新され、実行された KAT が表示されます。システムログファイルを表示するには、 コマンドを実行します file show /var/log/messages
。
user@host# file show /var/log/messages RE KATS: mgd: Running FIPS Self-tests mgd: Testing kernel KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-384 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: AES128-CMAC Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: Testing MACSec KATS: mgd: AES128-CMAC Known Answer Test: Passed mgd: AES256-CMAC Known Answer Test: Passed mgd: AES-ECB Known Answer Test: Passed mgd: AES-KEYWRAP Known Answer Test: Passed mgd: KBKDF Known Answer Test: Passed mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: Testing OpenSSL KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: FIPS ECDSA Known Answer Test: Passed mgd: FIPS ECDH Known Answer Test: Passed mgd: FIPS RSA Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-SSH-SHA256 Known Answer Test: Passed mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: Passed mgd: KAS-FFC-EPHEM-NOKC Known Answer Test: Passed mgd: Testing QuickSec 7.0 KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: SSH-ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing QuickSec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: Testing file integrity: mgd: File integrity Known Answer Test: Passed mgd: Testing crypto integrity: mgd: Crypto integrity Known Answer Test: Passed mgd: Expect an exec AuthenticatiMAC/veriexec: no fingerprint (file=/sbin/kats/cannot-exec fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352)on error... mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Authentication error mgd: FIPS Self-tests Passed LC KATS: Sep 12 10:50:44 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/0:0: <LC: Slot no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:50:50 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/1:0: <LC: Slot no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:50:55 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/0:0: <LC: Slot no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:50:56 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/2:0: <LC: Slot no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:01 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/1:0: <LC: Slot no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:02 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/2:0: <LC: Slot no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:06 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/3:0: <LC: Slot no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:12 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/3:0: <LC: Slot no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:17 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/4:0: <LC: Slot no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:17 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/4:0: <LC: Slot no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:26 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/5:0: <LC: Slot no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:27 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/5:0: <LC: Slot no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:36 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/6:0: <LC: Slot no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:36 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/6:0: <LC: Slot no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:44 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/7:0: <LC: Slot no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:44 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/7:0: <LC: Slot no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:51 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/8:0: <LC: Slot no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:51 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/8:0: <LC: Slot no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:58 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/9:0: <LC: Slot no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:58 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/9:0: <LC: Slot no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:05 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/10:0: <LC: Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:05 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/10:0: <LC: Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:12 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/11:0: <LC: Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:12 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/11:0: <LC: Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:20 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/0:0: <LC: Slot no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:20 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/0:0: <LC: Slot no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:27 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/1:0: <LC: Slot no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:28 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/1:0: <LC: Slot no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:34 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/2:0: <LC: Slot no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed
意味
システムログファイルには、KATが実行された日時とそのステータスが表示されます。