Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

トラステッド プラットフォーム モジュールの概要

トラステッド プラットフォーム モジュール (TPM)、TPM ベースの証明書の使用、および利点について説明します。

トラステッド プラットフォーム モジュール (TPM) は、デバイスが最適に動作していることを確認するハードウェア コンポーネントです。これは、暗号化キーやデジタル証明書などの重要なセキュリティアーティファクトの安全なストレージメカニズムとして機能します。

TPM ベースの証明書

Junos OS リリース 24.2R1以降、SRX1600、SRX2300、SRX4120、SRX4300シリーズのファイアウォールでTPMベースの証明書を使用できます。

ファイアウォールは、TPM ベースの証明書を使用して、デバイスを安全に識別できるようにします。ファイアウォールには、TPM 上に構築された idev-id 証明書が焼き付けられています。idev-id証明書は、ファイアウォールのJNPRシリアル番号とモデルが記載されており、ファイアウォールがジュニパーの施設で製造されたことを証明します。したがって、TPM証明書は、ジュニパーデバイスがそのIDを証明するための安全な方法です。

TPM ベースの証明書の利点

  • 信頼を提供します。安全でないデジタル世界で高度なセキュリティを確立するのに役立ちます。

  • 機密性を提供します。送信されたデータは暗号化され、サーバーとクライアントにのみ表示されます。

  • 整合性を提供します。転送中にデータが変更されていないことを確認します。

従来のSSL/TLS証明書はどのように機能しますか?

Secure Sockets Layer (SSL) は、暗号化を許可するプロトコルです。これは、クライアントとサーバー間の通信をセキュリティで保護し、認証するのに役立ちます。また、セキュリティで保護されていないネットワーク上での電子メール、VoIP、およびその他の通信を保護することもできます。SSLは、トランスポート層セキュリティ(TLS)とも呼ばれます。

セキュリティで保護されていないHTTP接続では、ハッカーはクライアントとサーバー間のメッセージを簡単に傍受できます。SSL証明書は、公開鍵と秘密鍵のペアシステムを使用してHTTPSプロトコルを開始します。したがって、SSL証明書は、ユーザーとクライアントが接続するための安全な接続を可能にします。SSL/TLSは以下を介して機能します。

  • TLSハンドシェイクで始まる安全な通信。通信を行う2つの当事者は、安全な接続を開き、公開鍵を交換します。
  • TLS ハンドシェイク中に、両者はセッション キーを生成します。セッションキーは、TLSハンドシェイク後のすべての通信を暗号化および復号化します。
  • 異なるセッションキーが、新しいセッションごとに通信を暗号化します。
  • TLSは、サーバー側のユーザー、またはユーザーが操作しているWebサイトが、ユーザーが主張する本人であることを確認します。
  • また、TLSでは、送信にMAC(メッセージ認証コード)が含まれているため、データが変更されていないことも保証されます。

署名されたSSL 証明がWebサイトを保護すると、組織が信頼できるサードパーティでIDを検証および認証したことが証明されます。ブラウザーが CA を信頼すると、ブラウザーはその組織の ID も信頼するようになります。

WebサイトにSSLがインストールされているかどうかを確認する最も簡単な方法は、WebサイトのURLが「HTTPS:」で始まるかどうかを確認することです。Web サイトのサーバーにSSL 証明がインストールされている場合は、アドレスバーの南京錠アイコンをクリックして証明書情報を表示します。

ファイアウォールが PKI を使用して TPM ベースの証明書を管理する方法

Juniper ATP Cloudを使用してAdvanced Anti-Malware Detection(AAMWD)などのアプリケーションを使用する場合、TPMベースの証明書を構成証明に使用することで、アプリケーションでデバイスの正当性を検証できます。ファイアウォールは、PKID プロセスを使用して TPM ベースの証明書を管理します。TPM ベースの証明書に PKID プロセスを使用する場合は、次の点に注意してください。

  • ファイアウォールは、デバイスの起動および再起動操作中に PKID プロセスを使用して TPM ベースの証明書を読み込みます。

  • デバイスは、デバイスのローカル証明書一覧から、 idev-id 証明書IDと呼ばれる TPM ベースの証明書IDに対して証明書と秘密キー ハンドルを読み込みます。 idev-idと呼ばれる TPM ベースの証明書IDを表示するには、 show security pki node-local local-certificate certificate-id idev-id コマンドを使用します。

  • コマンド request security pki node-local local-certificate verify certificate-id idev-id を使用して idev-id 証明書IDを確認しないでください。 idev-id 証明書IDの CA 証明書がファイアウォールで使用できないため、検証は行われません。コマンドを使用して確認しようとすると、エラーメッセージ local certificate verification can't performed for IDev-ID certificate as the CA cert for the same is not available 表示されます。

AAMWD と SSL/TLS が TPM ベースの証明書を使用する方法

SRXシリーズファイアウォールでJuniper ATP Cloudを使用したAAMW検出(AAMWD)などのアプリケーションでは、すべてのデバイス識別と認証に、従来の証明書ではなく、TPMバーントイン証明書を使用する必要があります。これにより、新しい TPM 証明書を使用して、クラウドサーバーとのセキュアなクライアント認証済み SSL 接続を確立できます。これは、AAMWD によって確立されたコントロール プレーンとデータ プレーン (SSL-I)/TLS 接続の両方に適用されます。クラウドサーバーは、SSL ハンドシェイクで共有される TPM 公開キーを使用して TPM 秘密キーの信頼性を確認します。デバイス識別情報は、共有 TPM 証明書の一部です。

SSL 開始 (SSL-I) プロファイルを構成する場合、PKID 側には、特定の証明書IDに対して開始/再起動時に TPM 証明書と秘密キー ハンドルを読み込むための要件があります。この証明書を使用して、SSL-I プロファイルを構成できます。この証明書は、AAMWD で TLS 接続に使用できます。SSL-AAMWD TLS接続の署名/検証の目的でTPMチップを使用するには、データプレーン側で変更する必要があります。SSL-I は、クライアント認証によって ATP Cloud に SSL クライアント機能を提供します。SSL-I モードは、TPM 証明書/秘密キーでサポートされている必要があります。以前は、SSL-I はファイルシステムのローカル証明書と秘密鍵を使用していました。

Junos OS リリース 24.2R1 以降、SSL-I を 2 つのモードで使用できます。

  • TPM 証明書/キーを使用した SSL-I

  • SSL-Iとファイルシステム証明書/鍵

set services ssl initiation profile profile-name crypto-hardware-offloadコマンドを使用して、tpmオプションを設定できます。

参照