Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

FIPSセルフテストの理解

暗号化モジュールは、ジュニパーネットワークスのJunosオペレーティングシステム(Junos OS)をFIPS動作モードで実行しているデバイスが、FIPS 140-3 レベル2のセキュリティ要件を満たしていることを確認するためのセキュリティルールを適用します。FIPS で承認された暗号化アルゴリズムの出力を検証し、一部のシステム モジュールの整合性をテストするために、デバイスは次の一連の既知の応答テスト(KAT)セルフテストを実行します。

  • md_kats—libmd と libc の KAT

  • quicksec_7_0_kats—KAT for Quicksec_7_0 Toolkit 暗号化実装

  • openssl_kats—OpenSSL暗号化実装のためのKAT

  • openssl-102_kats - KAT for OpenSSL v1.0.2 暗号化情報

  • kernel_kats—カーネル暗号化ルーチンの KAT

  • srxpfe_kats— SRXパケット転送エンジン用KAT

KAT セルフテストは、起動時に自動的に実行され、デバイスで FIPS 動作モードが有効になっている場合は再起動時に実行されます。条件付きセルフテストも自動的に実行され、デジタル署名されたソフトウェアパッケージ、生成された乱数、RSAとECDSAのキーペア、および手動で入力されたキーを検証します。

KAT が正常に完了すると、システム ログ(syslog)ファイルが更新され、実行されたテストが表示されます。

デバイスがKATに失敗した場合、デバイスは詳細をシステムログファイルに書き込み、FIPSエラー状態(パニック)になり、再起動します。

デバイスが正しく起動しない場合があります。これは、POSTテストの失敗、またはその他の結果である可能性があります。管理者は、このガイダンスドキュメントを参照して解決策を探し、問題が解決しない場合はサポートチームに連絡することをお勧めします。

コマンドは file show /var/log/messages 、システムログを表示します。

DRBGは設定を必要とせず、起動時に初期化されます。

デバイスでの電源投入時の自己診断テストの実行

暗号化モジュールの電源がオンになるたびに、モジュールは暗号化アルゴリズムが正しく動作し、機密データが破損していないことをテストします。電源投入時の自己診断テストは、モジュールの電源を入れ直すことにより、オンデマンドで実行されます。

デバイスの電源投入時またはリセット時に、モジュールは次のセルフテストを実行します。モジュールが暗号化を他の方法で使用する前に、すべての KAT を正常に完了する必要があります。KAT の 1 つに障害が発生すると、モジュールは重大な障害エラー状態になります。

モジュールは、電源投入時のセルフテストの実行中に、vSRX3.0 デバイスに対して以下のステータス出力を表示します。

手記:

このモジュールは、承認された操作モードで使用されていない暗号化ライブラリとアルゴリズムを実装しています。

関連資料