Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

FIPS モード Junos OS の動作環境の概要

ジュニパーネットワークスのJunosオペレーティングシステム(Junos OS)をFIPSモードで実行しているジュニパーネットワークスのデバイスは、非FIPSモードのデバイスの環境とは異なる特殊なタイプのハードウェアおよびソフトウェアの動作環境を形成します。

FIPSモードのJunos OS用ハードウェア環境

FIPSモードのJunos OSは、プレーンテキストを使用して、重要なセキュリティパラメーター(CSP)が超えることのできない暗号境界をデバイス内に確立します。FIPS 140-2 に準拠するために暗号化境界を必要とするデバイスの各ハードウェア コンポーネントは、個別の暗号化モジュールです。 FIPSモードのJunos OSには、暗号化境界を持つハードウェアには、各ルーティングエンジンとシャーシ全体の2種類があります。

暗号化方式は、物理的なセキュリティに代わるものではありません。ハードウェアは、安全な物理環境に配置する必要があります。あらゆる種類のユーザーは、鍵やパスワードを明らかにしたり、書面による記録やメモを権限のない人に見せたりしてはなりません。

FIPSモードのJunos OS用ソフトウェア環境

Junos OSをFIPSモードで実行しているジュニパーネットワークスのデバイスは、特殊なタイプの変更不可能な運用環境を形成します。デバイス上でこの環境を実現するために、システムは、FIPSモードディストリビューションで認定されたJunos OSの一部ではなかったバイナリファイルの実行を防止します。デバイスがFIPSモードの場合、Junos OSのみを実行できます。

FIPS モードの Junos OS ソフトウェア環境は、セキュリティ管理者がデバイス上で FIPS モードを正常に有効にした後に確立されます。FIPSモードを含むJunos OSイメージは、ジュニパーネットワークスのWebサイトで入手でき、機能しているデバイスにインストールできます。

FIPS 140-2 に準拠するために、FIPS モードを有効にする前に、デバイスを ゼロ化 して、すべてのユーザーが作成したファイルとデータを削除することをお勧めします。

FIPS モードを有効にすると、通常の Junos OS プロトコルとサービスの多くが無効になります。特に、FIPSモードのJunos OSでは、以下のサービスを設定できません。

  • FTPの

  • rlogin

  • Telnet

  • TFTP

  • xnm-クリアテキスト

これらのサービスを設定しようとしたり、これらのサービスを設定した状態で設定を読み込もうとすると、設定構文エラーが発生します。

リモートアクセスサービスとして使用できるのはSSHのみです。

FIPS モードの Junos OS にアップグレードした後にユーザに設定されたすべてのパスワードは、Junos OS in FIPS モードの仕様に準拠している必要があります。パスワードの長さは 10 文字から 20 文字で、定義された 5 つの文字セットのうち少なくとも 3 つを使用する必要があります(大文字と小文字、数字、句点、% や & などのキーボード文字で、他の 4 つのカテゴリには含まれていません)。これらのルールに準拠しないパスワードを設定しようとすると、エラーになります。ピアの認証に使用するすべてのパスワードと鍵は、10 文字以上の長さである必要があり、場合によっては、長さがダイジェスト サイズと一致する必要があります。

手記:

セキュリティ管理者がローカル コンソール接続から設定を完了するまで、デバイスをネットワークに接続しないでください。

厳格なコンプライアンスのため、一部のCSPがプレーンテキストで表示される可能性があるため、FIPSモードのJunos OSのローカルコンソールでコアおよびクラッシュダンプ情報を調べないでください。

重要なセキュリティパラメータ

重要セキュリティ パラメーター (CSP) は、暗号化キーやパスワードなどのセキュリティ関連情報であり、暗号化モジュールのセキュリティや、モジュールによって保護されている情報のセキュリティが開示または変更された場合に侵害される可能性があります。

システムをゼロ化することで、デバイスやルーティングエンジンを暗号モジュールとして動作させる準備として、CSPの痕跡をすべて消去します。

表 1 は、Junos OS を実行するデバイスの CSP の一覧です。

表1:重要なセキュリティパラメータ

CSP

形容

ゼロ化

使う

SSHv2プライベートホストキー

ホストを識別するために使用されるECDSA/RSAキーで、SSHが初めて設定されたときに生成されます。

ゼロ化コマンド。

ホストを識別するために使用します。

SSHv2 セッション キー

SSHv2 で、Diffie-Hellman 秘密キーとして使用されるセッション キー。

暗号化:AES-128、AES-256。

MAC: HMAC-SHA-1、HMAC-SHA-2-256、HMAC-SHA2-512。

鍵交換:dh-group14-sha1、ECDH-sha2-nistp256、ECDH-sha2-nistp384、ECDH-sha2-nistp521。

電源を入れ直し、セッションを終了します。

ホストとクライアント間のデータの暗号化に使用される対称キー。

ユーザー認証キー

ユーザーのパスワードのハッシュ: SHA256、SHA512。

ゼロ化コマンド。

暗号化モジュールに対してユーザーを認証するために使用します。

Crypto Officer認証キー

Crypto Officerのパスワードのハッシュ:SHA256、SHA512。

ゼロ化コマンド。

暗号化モジュールに対してセキュリティ管理者を認証するために使用します。

HMAC DRBGシード

決定論的ランドン・ビット・ジェネレーター (DRBG) のシード。

シードは暗号化モジュールによって格納されません。

DRBGの播種に使用されます。

HMAC DRBG V値

出力ブロック長 (outlen) の値 (V) (ビット単位) で、別の出力ビットが生成されるたびに更新されます。

電源を入れ直します。

DRBGの内部状態の臨界値。

HMAC DRBG キー値

outlen-bit キーの現在の値で、DRBG メカニズムが擬似乱数ビットを生成するたびに少なくとも 1 回更新されます。

電源を入れ直します。

DRBGの内部状態の臨界値。

NDRNG エントロピー

HMAC DRBG へのエントロピー入力文字列として使用されます。

電源を入れ直します。

DRBGの内部状態の臨界値。

FIPSモードのJunos OSでは、すべてのCSPが暗号化された形式で暗号化モジュールに出入りする必要があります。承認されていないアルゴリズムで暗号化されたCSPは、FIPSによってプレーンテキストと見なされます。

ローカルパスワードは、SHA256またはSHA512アルゴリズムでハッシュされます。FIPS モードの Junos OS では、パスワード リカバリーは実行できません。FIPSモードのJunos OSは、正しいrootパスワードがないとシングルユーザーモードで起動できません。

関連資料