이 페이지에서
FIPS 용어 및 지원되는 암호화 알고리즘 개요
FIPS 용어 및 지원되는 알고리즘의 정의를 사용하여 FIPS 모드의 Junos OS 이해합니다.
용어
Critical security parameter (CSP) | 보안 관련 정보(예: 비밀번호 및 개인 식별 번호)와 같은 비밀번호 및 개인 식별 번호(PIN)와 같은 비밀번호 및 개인 식별 데이터와 같은 비밀번호 및 개인 식별 데이터 등과 같은 보안 관련 정보는 암호화 모듈 또는 암호화 모듈 또는 보호하는 정보의 보안을 손상시킬 수 있습니다. 자세한 내용은 FIPS 모드의 Junos OS 운영 환경 이해를 참조하십시오. |
Cryptographic module | 승인된 보안 기능(암호화 알고리즘 및 키 생성 포함)을 구현하고 암호화 경계 내에 포함된 하드웨어, 소프트웨어 및 펌웨어 세트입니다. 고정 구성 디바이스의 경우 암호화 모듈이 디바이스 케이스입니다. 모듈형 디바이스의 경우 암호화 모듈은 라우팅 엔진. |
FIPS | 연방 정보 처리 표준. FIPS 140-2는 보안 및 암호화 모듈에 대한 요구 사항을 지정합니다. FIPS 모드의 Junos OS FIPS 140-2 레벨 1을 준수합니다. |
FIPS maintenance role | 암호화 담당자가 물리적 유지 보수 또는 하드웨어 또는 소프트웨어 진단과 같은 논리적 유지 보수 서비스를 수행하는 것으로 가정하는 역할. FIPS 140-2 규정 준수의 경우, 암호화 담당자는 FIPS 유지 관리 역할에서 들어오고 나가는 라우팅 엔진 제로화하여 모든 일반 텍스트 비밀 및 개인 키와 보호되지 않은 CSP를 지웁니다.
참고:
FIPS 유지 보수 역할은 FIPS 모드의 Junos OS 지원되지 않습니다. |
Hashing | 임의 길이 메시지에 반복적으로 암호화 기술을 적용하고 전송 시 메시지에 추가되는 고정 길이의 해시 메시지 다이제스트 또는 시그니처 를 생성하는 메시지 인증 방법입니다. |
KATs | 알려진 응답 테스트. FIPS에 승인된 암호화 알고리즘의 출력을 검증하고 일부 Junos OS 모듈의 무결성을 테스트하는 시스템 자체 테스트입니다. 자세한 내용은 FIPS 자체 테스트 개요를 참조하십시오. |
NDcPPv2.2e | 네트워크 디바이스에 대한 협업 보호 프로필. |
SSH | 비보안 네트워크 전반의 원격 액세스를 위해 강력한 인증 및 암호화를 사용하는 프로토콜입니다. SSH는 원격 로그인, 원격 프로그램 실행, 파일 카피 및 기타 기능을 제공합니다. 이는 UNIX 환경에서 , , |
Zeroization | FIPS 암호화 모듈로 작동하기 전에 또는 비 FIPS 작업을 위해 디바이스를 용도 변경에 대비하여 디바이스에서 모든 CSP 및 기타 사용자가 만든 데이터를 삭제합니다. 암호화 담당자는 CLI 운영 명령으로 시스템을 제로화할 수 있습니다. |
지원되는 암호화 알고리즘
표 1 은 높은 수준의 프로토콜 알고리즘 지원을 요약합니다.
프로토콜 |
키 교환 |
인증 |
암호화 |
무결성 |
---|---|---|---|---|
SSHv2 |
|
호스트(모듈):
클라이언트(사용자):
|
|
|
다음 암호화 알고리즘은 FIPS 모드에서 지원됩니다. 대칭 방법은 암호화 및 복호화에 동일한 키를 사용하는 반면, 비대칭 방법은 암호화 및 복호화에 서로 다른 키를 사용합니다.
AES | FIPS PUB 197에 정의된 고급 암호화 표준(AES). AES 알고리즘은 128비트, 192비트 또는 256비트 키를 사용하여 128비트 블록의 데이터를 암호화하고 복호화합니다. |
ECDH | 타원곡선 Diffie-Hellman. 한정된 필드에 타원 곡선의 대수 구조를 기반으로 암호화를 사용하는 Diffie-Hellman 키 교환 알고리즘의 변형. ECDH는 타원 곡선 공용-프라이빗 키 쌍을 가진 두 당사자가 안전하지 않은 채널을 통해 공유 비밀을 설정할 수 있도록 허용합니다. 공유 암호를 키로 사용하거나 대칭 키 암호로 후속 통신을 암호화하는 또 다른 키를 도출할 수 있습니다. |
ECDSA | 타원곡선 디지털 서명 알고리즘. 한정된 필드에 타원곡선의 대수 구조를 기반으로 암호화를 사용하는 DSA(Digital Signature Algorithm)의 변형입니다. 타원곡선의 비트 크기는 키 복호화의 어려움을 결정합니다. ECDSA에 필요한 것으로 추정되는 공개 키는 보안 레벨의 약 2배 크기(비트)입니다. P-256, P-384 및 P-521 곡선을 사용하는 ECDSA는 OpenSSH에 따라 구성할 수 있습니다. |
HMAC | RFC 2104에서 "메시지 인증을 위한 키드 해싱"으로 정의된 HMAC는 해싱 알고리즘과 메시지 인증을 위한 암호화 키를 결합합니다. FIPS 모드의 Junos OS 경우 HMAC는 비밀 키와 함께 반복 암호화 해시 기능 SHA-1, SHA-256 및 SHA-512를 사용합니다. |
SHA-256 and SHA-512 | FIPS PUB 180-2에 정의된 SHA-2 표준에 속하는 보안 해시 알고리즘(SHA). NIST에서 개발한 SHA-256은 256비트 해시 다이제스트를 생성하고 SHA-512는 512비트 해시 다이제스트를 생성합니다. |