Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

FIPS 작업 모드 용어 및 지원되는 암호화 알고리즘 이해

FIPS 용어 및 지원되는 알고리즘의 정의를 사용하면 FIPS 운영 모드의 Junos OS를 이해하는 데 도움이 됩니다.

FIPS 용어

Critical security parameter (CSP)

보안 관련 정보(예: 비밀 및 개인 암호화 키와 암호 및 개인 식별 번호(PIN)와 같은 인증 데이터) - 공개 또는 수정 시 암호화 모듈 또는 암호화 모듈이 보호하는 정보의 보안이 손상될 수 있습니다.

Cryptographic module

승인된 보안 기능(암호화 알고리즘 및 키 생성 포함)을 구현하고 암호화 경계 내에 포함된 하드웨어, 소프트웨어 및 펌웨어 집합입니다. SRX 시리즈 디바이스는 FIPS 140-3 Level 2 인증을 받았습니다.
Security Administrator

디바이스의 FIPS 작동 모드에서 Junos OS를 안전하게 활성화, 구성, 모니터링 및 유지 관리할 책임이 있는 적절한 권한이 있는 사람입니다.

ESP

ESP(Encapsulating Security Payload) 프로토콜입니다. 암호화를 통해 패킷의 기밀성을 보장하는 IPsec 프로토콜의 일부입니다. 이 프로토콜은 ESP 패킷이 성공적으로 복호화되고 피어가 공유하는 비밀 키를 다른 당사자가 모르는 경우 패킷이 전송 중에 도청되지 않도록 합니다.
FIPS

연방 정보 처리 표준(Federal Information Processing Standards). FIPS 140-3은 보안 및 암호화 모듈에 대한 요구 사항을 지정합니다. FIPS 운영 모드의 Junos OS는 FIPS 140-3 Level 2를 준수합니다.
IKE

IKE(Internet Key Exchange)는 IPsec의 일부이며 IPsec의 AH(인증 헤더) 및 ESP 부분이 제대로 작동하는 데 필요한 공유 개인 키를 안전하게 협상하는 방법을 제공합니다. IKE는 Diffie-Hellman 키 교환 방법을 사용하며 IPsec에서 선택 사항입니다. (공유 키는 엔드포인트에서 수동으로 입력할 수 있습니다.)
IPsec

IPsec(IP 보안) 프로토콜입니다. 인터넷 통신에 보안을 추가하는 표준 방법입니다. IPsec SA(Security Association)는 상호 인증 및 암호화를 통해 다른 FIPS 암호화 모듈과 보안 통신을 설정합니다.
KATs

알려진 답변 테스트. FIPS에 대해 승인된 암호화 알고리즘의 출력을 검증하고 일부 Junos OS 모듈의 무결성을 테스트하는 시스템 자체 테스트.

SA

SA(보안 연결). 예를 들어 개인 키를 교환하는 방법을 정의하여 안전하게 통신할 수 있도록 하는 호스트 간의 연결입니다. 보안 관리자는 FIPS 운영 모드에서 Junos OS를 실행하는 디바이스에서 내부 SA를 수동으로 구성해야 합니다. 키를 포함한 모든 값은 구성에 정적으로 지정되어야 합니다.

SPI

SPI(보안 매개 변수 인덱스). SA를 식별하기 위해 IPsec의 대상 주소 및 보안 프로토콜과 함께 사용되는 숫자 식별자입니다. FIPS 운영 모드에서 Junos OS에 대한 SA를 수동으로 구성하기 때문에 SPI를 무작위로 파생하지 않고 매개 변수로 입력해야 합니다.
SSH

보안되지 않은 네트워크에서 원격 액세스를 위해 강력한 인증 및 암호화를 사용하는 프로토콜입니다. SSH는 원격 로그인, 원격 프로그램 실행, 파일 복사 및 기타 기능을 제공합니다. UNIX 환경에서 , rsh, 를 rcp 안전하게 대체rlogin하기 위한 것입니다. 관리 연결을 통해 전송되는 정보를 보호하려면 CLI 구성에 SSHv2를 사용합니다. Junos OS에서 SSHv2는 기본적으로 활성화되며, 안전하지 않은 것으로 간주되는 SSHv1은 비활성화됩니다.
Zeroization

FIPS 암호화 모듈로 작동하기 전에 또는 비 FIPS 작업을 위해 디바이스의 용도 변경을 준비하기 전에 디바이스에서 모든 CSP 및 기타 사용자 생성 데이터를 삭제합니다. 보안 관리자는 CLI 운영 명령을 사용하여 시스템을 영점화할 수 있습니다.

지원되는 암호화 알고리즘

알고리즘의 각 구현은 일련의 알려진 답변 테스트(KAT) 자체 테스트를 통해 확인됩니다. 자체 테스트 실패로 인해 FIPS 오류 상태가 됩니다.

모범 사례:

FIPS 140-3 규정 준수를 위해 FIPS 운영 모드의 Junos OS에서 FIPS 승인 암호화 알고리즘만 사용하십시오.

FIPS 작동 모드에서 지원되는 암호화 알고리즘은 다음과 같습니다. 대칭 방법은 암호화와 복호화에 동일한 키를 사용하는 반면, 비대칭 방법(기본 설정)은 암호화와 복호화에 서로 다른 키를 사용합니다.

AES

FIPS PUB 197에 정의된 AES(Advanced Encryption Standard)입니다. AES 알고리즘은 128비트, 192비트 또는 256비트의 키를 사용하여 128비트 블록의 데이터를 암호화하고 해독합니다.
Diffie-Hellman

보안되지 않은 환경(예: 인터넷)에서 키를 교환하는 방법입니다. Diffie-Hellman 알고리즘은 각 당사자가 부분 키를 독립적으로 선택하고 해당 키의 일부를 다른 당사자에게 보낼 수 있도록 하여 네트워크를 통해 키 자체를 보내지 않고 세션 키를 협상합니다. 그런 다음 양측은 공통 키 값을 계산합니다. 이는 대칭 방법이며 키는 일반적으로 짧은 시간 동안만 사용되고 삭제되고 다시 생성됩니다.
ECDH

타원 곡선 Diffie-Hellman. Diffie-Hellman 키 교환 알고리즘의 변형으로, 유한 필드에 대한 타원 곡선의 대수 구조를 기반으로 하는 암호화를 사용합니다. ECDH를 사용하면 각각 타원 곡선 퍼블릭-프라이빗 키 쌍을 가진 두 당사자가 안전하지 않은 채널을 통해 공유 암호를 설정할 수 있습니다. 공유 암호는 키로 사용하거나 대칭 키 암호를 사용하여 후속 통신을 암호화하기 위한 다른 키를 파생하는 데 사용할 수 있습니다.
ECDSA

타원 곡선 디지털 서명 알고리즘. DSA(Digital Signature Algorithm)의 변형으로, 유한 필드에 대한 타원 곡선의 대수 구조를 기반으로 하는 암호화를 사용합니다. 타원 곡선의 비트 크기는 키 암호 해독의 어려움을 결정합니다. ECDSA에 필요한 것으로 여겨지는 공개 키는 보안 수준 크기의 약 두 배(비트 단위)입니다. P-256, P-384 또는 P-521 곡선을 사용하는 ECDSA는 OpenSSH에서 구성할 수 있습니다.
HMAC

RFC 2104에서 "메시지 인증을 위한 키 해시"로 정의된 HMAC는 메시지 인증을 위해 해시 알고리즘과 암호화 키를 결합합니다. FIPS 운영 모드의 Junos OS의 경우, HMAC는 비밀 키와 함께 반복된 암호화 해시 함수 SHA-1(HMAC-SHA1로 지정됨)을 사용합니다.