Contraseña maestra para el cifrado de configuración

Descripción del endurecimiento de los secretos compartidos

Los secretos compartidos existentes (formato de $9$) en Junos OS actualmente utilizan un algoritmo de ofuscación, que no es un cifrado muy fuerte para los secretos de configuración. Si desea un cifrado seguro para sus secretos de configuración, puede configurar una contraseña maestra. La contraseña maestra se utiliza para derivar una clave de cifrado que se utiliza con AES256-GCM para cifrar los secretos de configuración. Este nuevo método de cifrado utiliza las cadenas formateadas de $8$.

A partir de Junos OS versión 15.1X49-D50 y Junos OS Evolved versión 22.4R1, se introducen nuevos comandos de CLI para configurar una contraseña maestra del sistema a fin de proporcionar un cifrado más fuerte para los secretos de configuración. La contraseña maestra cifra secretos como la contraseña RADIUS, claves precompartidas IKE y otros secretos compartidos en la configuración del proceso de administración de Junos OS (mgd). La contraseña maestra en sí no se guarda como parte de la configuración. La calidad de la contraseña se evalúa para determinar la fuerza y el dispositivo da comentarios si se utilizan contraseñas débiles.

La contraseña maestra se utiliza como entrada a la función de derivación de clave basada en contraseña (PBKDF2) para generar una clave de cifrado. la clave se utiliza como entrada al estándar de cifrado avanzado en modo galois/contador (AES256-GCM). El texto sin formato que ingresa el usuario se procesa mediante el algoritmo de cifrado (con clave) para producir el texto cifrado (texto cifrado). Ver Figura 1

Figura 1: Cifrado de contraseña maestra

Los secretos de configuración de $8$ solo se pueden compartir entre dispositivos mediante la misma contraseña maestra.

Las contraseñas cifradas de $8$tienen el siguiente formato:

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted. Consulte Tabla 1 los detalles del formato de la contraseña maestra.

La codificación ASCII64 es compatible con Base64 (RFC 4648), excepto que no se utiliza relleno (carácter "=") para mantener las cadenas cortas. Por ejemplo: $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww

Limitaciones

Las siguientes limitaciones y excepciones se aplican a la función de integridad del archivo de configuración mediante TPM:

• Esta función solo se admite en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 , SRX5400, SRX5600 y SRX5800. En dispositivos SRX5400, SRX5600 y SRX5800, el TPM solo se admite con RE3.

• Si la contraseña de cifrado maestro no está establecida, los datos se almacenan sin cifrar.

• No se admite la función de integridad de archivos junto con la función de cifrado de archivo de configuración que utiliza claves guardadas en EEPROM. Solo puede habilitar una función a la vez.

• En un clúster de chasis, ambos nodos deben tener la misma configuración de TPM. Esto significa que ambos nodos del clúster de chasis deben tener TPM habilitado, o que ambos nodos del clúster de chasis deben tener TPM deshabilitado. El clúster de chasis no debe tener un nodo establecido en TPM habilitado y el otro nodo establecido en TPM deshabilitado.

Configuración de la contraseña de cifrado maestro

Establezca la contraseña de cifrado maestro mediante el siguiente comando de CLI:

request security tpm master-encryption-password set plain-text-password

Se le pedirá que ingrese la contraseña de cifrado maestro dos veces para asegurarse de que estas contraseñas coincidan. La contraseña de cifrado principal se valida para la fuerza de contraseña requerida.

Después de establecer la contraseña de cifrado maestro, el sistema procede a cifrar los datos confidenciales con la contraseña de cifrado principal que está cifrada por la clave de enlace maestra que pertenece y está protegida por el chip TPM.

Verificar el estado del TPM

Puede usar el show security tpm status comando para comprobar el estado del TPM. Se muestra la siguiente información:

• TPM habilitado/deshabilitado

• Propiedad de TPM

• Estado de la clave de enlace maestro de TPM (creada o no creada)

• estado de la contraseña de cifrado maestro (establecido o no establecido)

A partir de Junos OS versión 15.1X49-D120 y Junos OS versión 17.4R1, el firmware del módulo de plataforma de confianza (TPM) se actualizó. La versión de firmware actualizada ofrece criptografía adicional segura y mejora la seguridad. El firmware TPM actualizado está disponible junto con el paquete Junos OS. Para actualizar el firmware de TPM, consulte Actualización del firmware de TPM en dispositivos SRX. Para confirmar la versión de firmware de TPM, utilice el show security tpm status comando y TPM FamilyTPM Firmware version se introducen los campos de salida.

Cambiar la contraseña de cifrado principal

El cambio de la contraseña de cifrado maestro se realiza mediante la CLI.

Para cambiar la contraseña de cifrado maestro, escriba el siguiente comando desde el modo operativo:

request security tpm master-encryption-password set plain-text-password

El sistema comprueba si la contraseña de cifrado principal ya está configurada. Si la contraseña de cifrado maestro está configurada, se le pedirá que ingrese la contraseña de cifrado principal actual.

La contraseña de cifrado principal ingresada se valida con la contraseña de cifrado maestro actual para asegurarse de que estas contraseñas de cifrado maestro coincidan. Si la validación se hace correctamente, se le pedirá que escriba la nueva contraseña de cifrado maestro como texto sin formato. Se le pedirá que introduzca la clave dos veces para validar la contraseña.

Luego, el sistema procede a volver a cifrar los datos confidenciales con la nueva contraseña de cifrado principal. Debe esperar a que se complete este proceso de reencripción antes de intentar cambiar la contraseña de cifrado principal de nuevo.

Si por alguna razón, el archivo de contraseña de cifrado principal cifrado se pierde o está dañado, el sistema no podrá descifrar los datos confidenciales. El sistema solo se puede recuperar volviendo a importar los datos confidenciales en texto sin formato y cifrando de nuevo.

Si el sistema está en peligro, el administrador puede recuperarlo mediante el siguiente método:

• Desactive la propiedad del TPM en el u-boot y, a continuación, instale la imagen en el cargador de arranque mediante TFTP o USB (si el puerto USB no está restringido).

Limitaciones

• Si se elimina la clave de cifrado maestra (MEK), los datos no se pueden descifrar. Para eliminar MEK, debe cero el dispositivo.

• Para degradar el motor de enrutamiento, debe cero el motor de enrutamiento. Una vez que el dispositivo está en cero, se puede degradar de manera segura a la imagen que no admite esta función.

• En la configuración del motor de enrutamiento dual, si es necesario recuperar el motor de enrutamiento de respaldo, debido a la discordancia de MEK, gres debe deshabilitarse y el motor de enrutamiento de respaldo debe estar en cero. Una vez que se haga una copia de seguridad del motor de rutina, configure MEK mediante request security tpm master-encryption-password set plain-text-password el comando en Master RE.

• En la configuración del motor de enrutamiento dual, si es necesario reemplazar el motor de enrutamiento de respaldo, primero se debe cero el nuevo motor de enrutamiento de respaldo antes de agregar la configuración del motor de enrutamiento dual, gres debe deshabilitarse y volver a configurar MEK en re maestro mediante request security tpm master-encryption-password set plain-text-password el comando.