EN ESTA PÁGINA
Descripción de la terminología fips y algoritmos criptográficos compatibles
Use las definiciones de términos FIPS y los algoritmos compatibles para ayudarlo a comprender Junos OS en el modo FIPS.
Terminología
Critical security parameter (CSP) | Información relacionada con la seguridad (por ejemplo, claves criptográficas secretas y privadas, y datos de autenticación, como contraseñas y números de identificación personal (PIN), cuya divulgación o modificación puede poner en peligro la seguridad de un módulo criptográfico o de la información que protege. Para obtener más información, consulte Descripción del entorno operativo de Junos OS en modo FIPS. |
Cryptographic module | El conjunto de hardware, software y firmware que implementa funciones de seguridad aprobadas (incluyendo algoritmos criptográficos y generación de claves) y está contenido dentro del límite criptográfico. |
FIPS | Estándares federales de procesamiento de información. FIPS 140-2 especifica los requisitos de los módulos criptográficos y de seguridad. Junos OS en modo FIPS cumple con FIPS 140-2 nivel 1. |
FIPS maintenance role | La función que asume el agente criptográfico para realizar servicios de mantenimiento físico o lógico, como diagnósticos de hardware o software. Para el cumplimiento de FIPS 140-2, el agente criptográfico elimina el motor de enrutamiento al entrar y salir de la función de mantenimiento de FIPS para borrar todas las claves privadas y de texto sin formato, así como los CSP no protegidos.
Nota:
La función de mantenimiento de FIPS no se admite en Junos OS en modo FIPS. |
Hashing | Un método de autenticación de mensaje que aplica una técnica criptográfica de forma iterativa a un mensaje de longitud arbitraria y produce un resumen del mensaje hash o una firma de longitud fija que se anexa al mensaje cuando se envía. |
KATs | Pruebas de respuestas conocidas. Sistema de autopruebas que validan la salida de algoritmos criptográficos aprobados para FIPS y prueban la integridad de algunos módulos de Junos OS. Para obtener más información, consulte Descripción de las autopruebas de FIPS. |
SSH | Un protocolo que utiliza autenticación y cifrado sólidos para el acceso remoto en una red no segura. SSH proporciona inicio de sesión remoto, ejecución remota de programas, copia de archivos y otras funciones. Está diseñado como un reemplazo seguro para |
Zeroization | Eliminación de todos los CSP y otros datos creados por el usuario en un dispositivo antes de su operación como módulo criptográfico FIPS, o en preparación para reutilizar los dispositivos para operaciones que no sean FIPS. El oficial criptográfico puede cero el sistema con un comando operativo de CLI. |
Algoritmos criptográficos compatibles
Se admiten los siguientes algoritmos criptográficos en el modo FIPS. Los métodos simétricos usan la misma clave para el cifrado y el descifrado, mientras que los métodos asimétricos utilizan claves diferentes para el cifrado y el descifrado.
AES | El Estándar de cifrado avanzado (AES), definido en FIPS PUB 197. El algoritmo AES usa claves de 128, 192 o 256 bits para cifrar y descifrar datos en bloques de 128 bits. |
ECDH | Curva elíptica Diffie-Hellman. Una variante del algoritmo de intercambio de claves Diffie-Hellman que utiliza criptografía basada en la estructura álgebra de curvas elípticas sobre campos finitos. La ECDH permite que dos partes, cada una con un par de claves público-privada de curva elíptica, establezcan un secreto compartido sobre un canal inseguro. El secreto compartido se puede usar como clave o para derivar otra clave para cifrar las comunicaciones posteriores mediante un cifrado de clave simétrico. |
ECDSA | Algoritmo de firma digital de curva elíptica. Una variante del algoritmo de firma digital (DSA) que utiliza criptografía basada en la estructura álgebra de curvas elípticas sobre campos finitos. El tamaño de bits de la curva elíptica determina la dificultad de descifrar la clave. La clave pública que se cree que es necesaria para ECDSA es aproximadamente el doble del tamaño del nivel de seguridad, en bits. ECDSA mediante las curvas P-256, P-384 y P-521 se puede configurar en OpenSSH. |
HMAC | Definida como "Keyed-Hashing for Message Authentication" en RFC 2104, HMAC combina algoritmos hash con claves criptográficas para la autenticación de mensajes. Para Junos OS en modo FIPS, HMAC usa las funciones hash criptográficas iteradas SHA-1, SHA-256 y SHA-512 junto con una clave secreta. |
SHA-256 and SHA-512 | Algoritmos hash seguros (SHA) que pertenecen al estándar SHA-2 definido en FIPS PUB 180-2. Desarrollado por el NIST, SHA-256 produce un resumen hash de 256 bits, y SHA-512 produce un resumen hash de 512 bits. |
3DES (3des-cbc) | Estándar de cifrado basado en el estándar de cifrado de datos (DES) original de la años 1970 que utilizaba una clave de 56 bits y se descifraba en 1997. El 3DES más seguro está mejorado con DES con tres etapas múltiples y longitudes de clave efectivas de unos 112 bits. Para Junos OS en modo FIPS, 3DES se implementa con encadenamiento de bloques de cifrado (CBC). |