このページで
例:FIPS セルフテストの設定
この例では、FIPS セルフテストを定期的に実行するように構成する方法を示します。
ハードウェアとソフトウェアの要件
-
FIPS セルフテストを設定するには、管理者権限が必要です。
-
デバイスは、FIPS モード ソフトウェアで Junos OS の評価バージョンを実行している必要があります。
概要
FIPS セルフテストは、以下の KA(既知の回答テスト)スイートで構成されています。
-
kernel_katsカーネル暗号化ルーチン用の KAT -
md_kats- libmd および libc の KAT -
quicksec_kats- QuickSec Toolkit 暗号化実装のための KAT -
openssl_kats- OpenSSL 暗号化実装用の KAT -
ssh_ipsec_kats- SSH IPsec Toolkit 暗号化実装向け KAT -
macsec_kats— MACsec 暗号化実装用の KAT
この例では、FIPS セルフテストは毎週水曜日に米国ニューヨーク市で午前 9:00 に実行されます。
メモ:
週次テストではなく、 および day-of-month ステートメントを含めて月次テストをmonth設定できます。
KAT の自己テストが失敗すると、テスト失敗の詳細を含むログ メッセージがシステム ログ メッセージ ファイルに書き込まれます。その後、システムはパニックになり、再起動します。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。
set system fips self-test periodic start-time 09:00 set system fips self-test periodic day-of-week 3
手順
FIPSセルフテストを設定するには、crypto-officer認証情報を使用してデバイスにログインします。
-
毎週水曜日の午前 9 時 00 分に FIPS セルフテストを実行するように構成します。
[edit system fips self-test] crypto-officer@hostname:fips# set periodic start-time 09:00 crypto-officer@hostname:fips# set periodic day-of-week 3
-
デバイスの設定が完了したら、設定をコミットします。
[edit system fips self-test] crypto-officer@hostname:fips# commit
結果
設定モードから、 コマンドを発行して設定を show system 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
crypto-officer@hostname:fips# show system
fips {
self-test {
periodic {
start-time "09:00";
day-of-week 3;
}
}
}
検証
設定が正しく機能していることを確認します。
FIPS セルフテストの検証
目的
FIPS セルフテストが有効になっていることを確認します。
アクション
コマンドを発行して FIPS セルフテストを request system fips self-test 手動で実行するか、デバイスを再起動します。
要求システム fips self-test コマンドを発行するか、デバイスを再起動すると、システム ログ ファイルが更新され、実行された KAT が表示されます。システム ログ ファイルを表示するには、 コマンドを file show /var/log/messages 発行します。
user@host# file show /var/log/messages RE KATS: mgd: Running FIPS Self-tests mgd: Testing kernel KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-384 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: AES128-CMAC Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: Testing MACSec KATS: mgd: AES128-CMAC Known Answer Test: Passed mgd: AES256-CMAC Known Answer Test: Passed mgd: AES-ECB Known Answer Test: Passed mgd: AES-KEYWRAP Known Answer Test: Passed mgd: KBKDF Known Answer Test: Passed mgd: Testing libmd KATS: mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: SHA-2-512 Known Answer Test: Passed mgd: Testing OpenSSL KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: FIPS ECDSA Known Answer Test: Passed mgd: FIPS ECDH Known Answer Test: Passed mgd: FIPS RSA Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-SSH-SHA256 Known Answer Test: Passed mgd: KAS-ECC-EPHEM-UNIFIED-NOKC Known Answer Test: Passed mgd: KAS-FFC-EPHEM-NOKC Known Answer Test: Passed mgd: Testing QuickSec 7.0 KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: SSH-ECDSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing QuickSec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-224 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: HMAC-SHA2-384 Known Answer Test: Passed mgd: HMAC-SHA2-512 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: AES-GCM Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: KDF-IKE-V2 Known Answer Test: Passed mgd: Testing SSH IPsec KATS: mgd: NIST 800-90 HMAC DRBG Known Answer Test: Passed mgd: DES3-CBC Known Answer Test: Passed mgd: HMAC-SHA1 Known Answer Test: Passed mgd: HMAC-SHA2-256 Known Answer Test: Passed mgd: AES-CBC Known Answer Test: Passed mgd: SSH-RSA-ENC Known Answer Test: Passed mgd: SSH-RSA-SIGN Known Answer Test: Passed mgd: KDF-IKE-V1 Known Answer Test: Passed mgd: Testing file integrity: mgd: File integrity Known Answer Test: Passed mgd: Testing crypto integrity: mgd: Crypto integrity Known Answer Test: Passed mgd: Expect an exec AuthenticatiMAC/veriexec: no fingerprint (file=/sbin/kats/cannot-exec fsid=246 fileid=49356 gen=1 uid=0 pid=9384 ppid=9354 gppid=9352)on error... mgd: /sbin/kats/run-tests: /sbin/kats/cannot-exec: Authentication error mgd: FIPS Self-tests Passed LC KATS: Sep 12 10:50:44 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/0:0: <LC: Slot no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:50:50 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/1:0: <LC: Slot no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:50:55 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/0:0: <LC: Slot no> pic:0 port:0 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:50:56 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/2:0: <LC: Slot no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:01 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/1:0: <LC: Slot no> pic:0 port:1 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:02 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/2:0: <LC: Slot no> pic:0 port:2 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:06 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/3:0: <LC: Slot no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:12 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/3:0: <LC: Slot no> pic:0 port:3 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:17 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/4:0: <LC: Slot no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:17 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/4:0: <LC: Slot no> pic:0 port:4 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:26 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/5:0: <LC: Slot no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:27 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/5:0: <LC: Slot no> pic:0 port:5 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:36 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/6:0: <LC: Slot no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:36 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/6:0: <LC: Slot no> pic:0 port:6 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:44 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/7:0: <LC: Slot no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:44 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/7:0: <LC: Slot no> pic:0 port:7 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:51 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/8:0: <LC: Slot no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:51 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/8:0: <LC: Slot no> pic:0 port:8 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:51:58 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/9:0: <LC: Slot no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:51:58 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/9:0: <LC: Slot no> pic:0 port:9 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:05 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/10:0: <LC: Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:05 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/10:0: <LC: Slot no> pic:0 port:10 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:12 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/11:0: <LC: Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:12 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/0/11:0: <LC: Slot no> pic:0 port:11 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:20 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/0:0: <LC: Slot no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:20 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/0:0: <LC: Slot no> pic:1 port:0 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:27 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/1:0: <LC: Slot no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed Sep 12 10:52:28 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/1:0: <LC: Slot no> pic:1 port:1 chan:0 FIPS AES-256-GCM MACsec KATS decryption passed Sep 12 10:52:34 <DUT-NAME> <LC slot> network_macsec_kats_input xe-<LC slot no>/1/2:0: <LC: Slot no> pic:1 port:2 chan:0 FIPS AES-256-GCM MACsec KATS encryption passed
意味
システム ログ ファイルには、KAT が実行された日付と時刻とそのステータスが表示されます。