E Oracle Advanced Security FIPS 140-2の設定

Oracle Database 10g に含まれるSSLの暗号ライブラリは、FIPS 140-2 Level 2の証明書に準拠するように設計されています。Oracle Advanced Securityでは、SSL認証にこれらの暗号ライブラリが使用されます。次のCryptographic Modules Validation ProgramのWebサイトで、証明書の最新情報を確認してください。

http://csrc.nist.gov/cryptval/

NISTサイトで証明書の検証に成功すると使用できるようになるセキュリティ・ポリシーには、ホスト・オペレーティング・システムのセキュアな構成に関する要件が含まれています。

この付録の項目は次のとおりです。

• FIPSパラメータの構成

• 暗号スイートの選択

• インストール後のチェック

• FIPS接続の検証

E.1 FIPSパラメータの構成

Oracle Advanced SecurityのSSLアダプタは、fips.oraファイルのSSLFIPS_140パラメータをTRUEに設定することによって、FIPSモードで実行するように構成できます。

SSLFIPS_140=TRUE

このパラメータは、デフォルトではFALSEに設定されています。FIPSモードで操作するには、クライアントとサーバーの両方でTRUEに設定する必要があります。

fips.oraファイルが、$ORACLE_HOME/ldap/adminディレクトリに存在すること、またはFIPS_HOME環境変数によって指定されていることを確認します。この手順は、任意のデータベース・サーバーまたはクライアントの任意のOracleホームで繰り返すことができます。

注意: Oracle Database 10g リリース2（10.2）で使用されたSQLNET.SSLFIPS_140パラメータは、SSLFIPS_140パラメータに置換されています。このパラメータは、sqlnet.oraファイルではなく、fips.oraファイルに設定する必要があります。

E.2 暗号スイートの選択

暗号スイートは、ネットワーク・ノード間でメッセージを交換するのに使用する認証、暗号化およびデータ整合性アルゴリズムを1組にしたものです。たとえば、SSLハンドシェイク時、メッセージを送受信するときに使用する暗号スイートについて確認するために2つのノード間で折衝します。

FIPSの検証では、次の暗号スイートのみが認定されます。

• SSL_DH_anon_WITH_3DES_EDE_CBC_SHA

• SSL_DH_anon_WITH_DES_CBC_SHA

• SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA

• SSL_RSA_WITH_3DES_EDE_CBC_SHA

• SSL_RSA_WITH_DES_CBC_SHA

• SSL_RSA_EXPORT_WITH_DES40_CBC_SHA

Oracle Advanced SecurityのSSL暗号スイートは、FIPS認定の暗号スイートに自動的に設定されます。特定の暗号スイートを構成する場合は、sqlnet.oraファイルのSSL_CIPHER_SUITESパラメータを編集します。

SSL_CIPHER_SUITES=(SSL_cipher_suite1[,SSL_cipher_suite2[,..]])

このパラメータは、サーバーおよびクライアントでOracle Net Managerを使用して設定することもできます。

関連項目: 暗号スイートの設定の詳細は、「手順3: SSL暗号スイートのサーバーへの設定（オプション）」および「手順4: クライアントのSSL暗号スイートの設定（オプション）」を参照してください。

E.3 インストール後のチェック

インストール後に、オペレーティング・システムで次の許可を確認する必要があります。

• システムのセキュリティ・ポリシーに従って権限のないユーザーがOracle Cryptographic Librariesを実行しないようにするには、すべてのOracle実行可能ファイルに対して実行許可を設定する必要があります。

• ユーザーが誤ってまたは故意にOracle Cryptographic Librariesのファイルを読み取ったり変更したりしないようにするには、すべてのOracle実行可能ファイルに対して読取りおよび書込み権限を設定する必要があります。

FIPS 140-2 Level 2要件に準拠するには、セキュリティ・ポリシーの中に、権限のないユーザーがOracle Cryptographic Librariesプロセスを読み取ったり、変更したり、実行したりしないようにする手順を組み込む必要があります。

E.4 FIPS接続の検証

FIPSモードが使用可能かどうかを確認するには、sqlnet.oraファイルにトレースを追加できます。トレース・ファイルでは、FIPSの自己テスト・メッセージを検索できます。トレースを使用可能にするには、sqlnet.oraに次の行を追加します。

trace_directory_server=trace_dir
trace_file_server=trace_file
trace_level_server=trace_level

例:

trace_directory=/private/oracle/owm
trace_file_server=fips_trace.trc
trace_level_server=6

トレース・レベル6は、FIPSの自己テストの結果をチェックする場合に必要な最低限のトレース・レベルです。