設定暗号化用のマスターパスワード

共有シークレットの強化について

現在、Junos OSの既存の共有シークレット($9$形式)は難読化アルゴリズムを使用していますが、これは設定シークレットの強力な暗号化ではありません。設定シークレットを強力に暗号化する場合は、マスターパスワードを設定できます。マスター・パスワードは、構成秘密鍵を暗号化するために AES256-GCM で使用される暗号鍵を導出するために使用されます。この新しい暗号化方法では、$8$ 形式の文字列を使用します。

Junos OSリリース15.1X49-D50およびJunos OS Evolvedリリース22.4R1以降、システムマスターパスワードを設定する新しいCLIコマンドが導入され、設定シークレットの暗号化を強化します。マスターパスワードは、RADIUSパスワード、IKE事前共有キー、およびJunos OS管理プロセス(mgd)設定内の他の共有シークレットなどのシークレットを暗号化します。マスターパスワード自体は、設定の一部として保存されません。パスワードの品質は強度について評価され、脆弱なパスワードが使用された場合はデバイスがフィードバックを提供します。

マスターパスワードは、暗号化鍵を生成するためのパスワードベースの鍵導出機能 (PBKDF2) への入力として使用されます。キーは、ガロア/カウンター モード(AES256-GCM)の高度暗号化標準への入力として使用されます。ユーザーが入力したプレーンテキストは、暗号化アルゴリズム(キーを使用)によって処理され、暗号化されたテキスト(暗号テキスト)が生成されます。見る 図 1

図 1: マスターパスワードの暗号化

$8$の設定シークレットは、同じマスターパスワードを使用するデバイス間でのみ共有できます。

$8$で暗号化されたパスワードの形式は次のとおりです。

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted. マスターパスワードの形式の詳細については、 表 1 を参照してください。

ASCII64 エンコーディングは Base64 (RFC 4648) と互換性がありますが、文字列を短くするためにパディング (文字 "=") が使用されていない点が異なります。たとえば、以下のように表示されます。 $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww

限界

TPM を使用した構成ファイルの整合性機能には、次の制限と例外が適用されます。

• この機能は、SRX300、SRX320、SRX340、SRX345、SRX380、 SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。SRX5400、SRX5600、および SRX5800 デバイスでは、TPM は RE3 でのみサポートされます。

• マスター暗号化パスワードが設定されていない場合、データは暗号化されずに保存されます。

• ファイル整合性機能は、EEPROM に保存された鍵を使用するコンフィギュレーション ファイルの暗号化機能と共にサポートされていません。一度に有効にできる機能は 1 つだけです。

• シャーシ クラスタでは、両方のノードの TPM 設定が同じである必要があります。つまり、シャーシ クラスタの両方のノードで TPM が有効になっているか、シャーシ クラスタの両方のノードで TPM が無効になっている必要があります。シャーシ クラスタでは、1 つのノードを TPM に設定し、別のノードを TPM を無効にすることはできません。

マスター暗号化パスワードの設定

次の CLI コマンドを使用して、マスター暗号化パスワードを設定します。

request security tpm master-encryption-password set plain-text-password

これらのパスワードが一致することを確認するために、マスター暗号化パスワードを2回入力するように求められます。マスター暗号化パスワードは、必要なパスワード強度について検証されます。

マスター暗号化パスワードが設定されると、システムは、TPM チップによって所有および保護されているマスター バインディング キーによって暗号化されたマスター暗号化パスワードを使用して機密データの暗号化に進みます。

TPM の状態の確認

show security tpm status コマンドを使用して、TPM の状態を確認できます。次の情報が表示されます。

• TPM 有効/無効

• TPMの所有権

• TPM のマスター バインド キーの状態 (作成済みまたは未作成)

• マスター暗号化パスワードのステータス(設定または未設定)

Junos OSリリース15.1X49-D120およびJunos OSリリース17.4R1以降、トラステッドプラットフォームモジュール(TPM)ファームウェアがアップデートされました。アップグレードされたファームウェアバージョンは、追加の安全な暗号化を提供し、セキュリティを向上させます。更新された TPM ファームウェアは、Junos OS パッケージと共に入手できます。TPM ファームウェアの更新については、「 SRX デバイスでの TPM ファームウェアのアップグレード」を参照してください。TPM ファームウェアのバージョンを確認するには、 show security tpm status コマンドを使用します。 TPM Family および TPM Firmware version 出力フィールドが導入されました。

マスター暗号化パスワードの変更

マスター暗号化パスワードの変更は、CLI を使用して行います。

マスター暗号化パスワードを変更するには、動作モードから次のコマンドを入力します。

request security tpm master-encryption-password set plain-text-password

マスター暗号化パスワードがすでに設定されているかどうかがチェックされます。マスター暗号化パスワードが設定されている場合は、現在のマスター暗号化パスワードを入力するよう求められます。

入力したマスター暗号化パスワードは、現在のマスター暗号化パスワードと照合され、これらのマスター暗号化パスワードが一致することを確認します。検証が成功すると、新しいマスター暗号化パスワードをプレーンテキストとして入力するように求められます。パスワードを検証するために、キーを2回入力するように求められます。

その後、システムは新しいマスター暗号化パスワードを使用して機密データを再暗号化します。マスター暗号化パスワードの変更を再試行する前に、この再暗号化プロセスが完了するのを待つ必要があります。

何らかの理由で暗号化されたマスター暗号化パスワードファイルが紛失または破損している場合、システムは機密データを復号化できません。システムは、機密データをクリアテキストで再インポートし、再暗号化することによってのみ回復できます。

システムが侵害された場合、管理者は次の方法を使用してシステムを回復できます。

• uブートでTPM所有権をクリアしてから、TFTPまたはUSBを使用してブートローダーにイメージをインストールします(USBポートが制限されていない場合)。

限界

• マスター暗号化キー (MEK) が削除されると、データを復号化できません。MEK を削除するには、デバイスをゼロにする必要があります。

• ルーティングエンジンをダウングレードするには、ルーティングエンジンをゼロにする必要があります。デバイスがゼロになると、この機能をサポートしていないイメージに安全にダウングレードできます。

• デュアルルーティングエンジン構成では、MEKの不一致によりバックアップルーティングエンジンを復旧する必要がある場合、GRESを無効にし、バックアップルーティングエンジンをゼロにする必要があります。バックアップのルーチンエンジンが起動したら、マスターREで request security tpm master-encryption-password set plain-text-password コマンドを使用してMEKを設定します。

• デュアルルーティングエンジン構成では、バックアップルーティングエンジンを交換する必要がある場合、デュアルルーティングエンジン設定を追加する前に、まず新しいバックアップルーティングエンジンをゼロ化し、GRES を無効にし、 request security tpm master-encryption-password set plain-text-password コマンドを使用してマスターREでMEKを再設定する必要があります。

• デバイスでOSPF、IS-IS、MACsec、BGP、およびVRRPを設定し、マスターパスワードをリセットすると、ルーティング/DOT1xサブシステムがアクティブになるまでの時間(秒)の遅延が発生します。

• デバイスでマスターパスワード、MEK、OSPF、IS-IS、MACsec、BGP、およびVRRPを設定してデバイスを再起動すると、ルーティング/DOT1xサブシステムがアクティブになるまでの時間(秒単位)の遅延が発生します。