FIPS認証方法について
FIPS動作モードで動作するジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、ユーザーに幅広い機能を提供し、認証はロールベースで行われます。FIPS動作モードでは、以下のタイプのロールベース認証がサポートされています。
コンソールとSSHを介したユーザー名とパスワード認証
この認証方法では、ユーザーはユーザー名とパスワードの入力を求められます。デバイスは、人間が判読できる 96 文字の ASCII 文字から選択された最低 10 文字のパスワードを入力するようにユーザーに強制します。
パスワードの最大長は 20 文字です。
この方法では、デバイスは時間制限のあるアクセス メカニズムを適用します。たとえば、正しいパスワードを入力しようとして最初の 2 回失敗すると (処理時間が 0 と仮定)、時間制限のあるアクセスは適用されません。ユーザが 3 回目にパスワードを入力すると、モジュールによって 5 秒の遅延が強制されます。その後、試行が失敗するたびに、前回失敗した試行よりもさらに 5 秒の遅延が発生します。たとえば、4 回目の失敗した試行が 10 秒の遅延の場合、5 回目の失敗した試行は 15 秒の遅延、6 回目の失敗した試行は 20 秒の遅延、7 回目の失敗した試行は 25 秒の遅延になります。
したがって、これにより、各ゲッティアクティブ端末に対して、1分間に最大7回の試行が可能になります。したがって、攻撃者にとって最善のアプローチは、4回失敗した後に切断し、新しいgettyが生成されるのを待つことです。これにより、攻撃者は 1 分あたり約 9.6 回の試行 (1 時間あたり 576 回または 60 分) を実行することができます。これは、0.6 試行というものは存在しないため、1 分あたり 9 回の試行に四捨五入されます。したがって、ランダム試行が成功する確率は 1/9610 であり、これは 1/100 万未満です。1 分間に複数回連続して試行して成功する確率は 9/(9610) であり、これは 1/100,000 未満です。
SSH経由のユーザー名と公開キー認証
SSH公開キー認証では、ユーザー名を入力し、サーバーに保存されている公開キーに対応するプライベートキーの所有権を検証します。このデバイスは、ECDSA(P-256、P-384、およびP-521)およびRSA(2048、3072、および4092モジュラスビット長)キータイプをサポートしています。1分間に複数回連続して試行して成功する確率は5.6e7/(2128)です。
ssh-rsa 認証方式は、FIPS モードで許可されるアルゴリズムの 1 つです。