Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

FIPS 動作モードのシステム データをクリアするためのゼロ化の理解

ゼロ化により、SSH、ローカル暗号化、ローカル認証、IPsec用のすべてのプレーンテキストパスワード、シークレット、秘密キーなど、デバイス上のすべての設定情報が完全に消去されます。FIPSモードを終了するには、デバイスをゼロにする必要があります。

暗号モジュールは、未承認の暗号アルゴリズムがサポートされる、未承認の動作モードを提供します。承認されていない操作モードから承認された操作モードに移行する場合、暗号化責任者は、承認されていないモードの重要なセキュリティ パラメーター (CSP) をゼロにする必要があります。SRX380デバイスの場合、FIPS動作モードを有効にした後、Cryptographic OfficerがCLIから request system zeroize を入力してゼロ化プロセスを開始します。このコマンドの使用は、Cryptographic Officer に制限されています。

注意:

システムのゼロ化は注意して行ってください。ゼロ化プロセスが完了すると、デバイスにデータは残りません。このコマンドは、すべての CSP、構成、およびデバイス イメージを含むハード ディスク パーティションを消去します。したがって、デバイスはゼロ化時に起動せず、デバイスを回復するにはUSBの再イメージ化が必要です。

ゼロ化には時間がかかる場合があります。すべての構成は数秒で削除されますが、ゼロ化プロセスではすべてのメディアが上書きされます。メディアのサイズによってはかなりの時間がかかる場合があります。

なぜゼロ化なのか?

デバイスが FIPS 動作モードである間にすべての CSP が入力 (または再入力) されるまで、デバイスは有効な FIPS 暗号化モジュールとは見なされません。FIPS 140-3に準拠するには、FIPSモードを終了する唯一の方法は、TOEをゼロにすることです。

FIPS 140-3 に準拠するために、デバイスをゼロ化して FIPS モードを終了することをお勧めします。

いつゼロ化するのですか?

暗号化責任者として、次の状況でゼロ化を実行します。

  • FIPS 操作の前 - FIPS 暗号モジュールとして動作するためにデバイスを準備するには、ゼロ化を実行して非承認モードのクリティカル セキュリティ パラメーター(CSP)を削除し、デバイスで FIPS モードを有効にします。

  • 非FIPS操作の前—非FIPS操作のためのデバイスの転用を開始するには、デバイスのゼロ化を実行します。

    手記:

    ジュニパーネットワークスは、FIPS動作モードでの非FIPSソフトウェアのインストールをサポートしていませんが、特定のテスト環境ではインストールが必要な場合があります。必ず最初にシステムをゼロにしてください。

  • 不正開封防止シールが乱れた場合:安全でないポートのシールが改ざんされた場合、システムが侵害されていると見なされます。新しい不正開封防止シールを適切な場所に適用した後、システムをゼロ化し、新しいパスワードとCSPを設定します。

関連資料