Secure Shell は、OpenSSL FIPS 140 モジュールのコンシューマです。Oracle Solaris は、サーバー側とクライアント側に FIPS 140 オプションを提供します。FIPS 140 の要件に準拠するには、管理者は FIPS 140 オプションを構成および使用するようにしてください。
Secure Shell で OpenSSL の FIPS 140 モードが使用される FIPS モードは、デフォルトではありません。FIPS 140 モードで実行するには、管理者が Secure Shell を明示的に有効にする必要があります。コマンド ssh -o "UseFIPS140 yes" remote-host を使用して FIPS 140 モードを起動できます。代わりに、構成ファイル内にキーワードを設定することができます。
簡単に説明すると、この実装は次のもので構成されます。
サーバー側とクライアント側で、次の FIPS 140 承認の暗号化方式を使用できます: aes128-cbc、aes192-cbc、および aes256-cbc。
3des-cbc は、クライアント側ではデフォルトで使用できますが、セキュリティーリスクの可能性があるため、サーバー側の暗号化方式のリストには含まれていません。
次の FIPS 140 承認のメッセージ認証コード (MAC) を使用できます。
hmac-sha1、hmac-sha1-96
hmac-sha2-256、hmac-sha2-256-96
hmac-sha2-512、hmac-sha2-512-96
4 つのサーバークライアント構成がサポートされています。
クライアント側もサーバー側も FIPS 140 なしモード
クライアント側とサーバー側の両方で FIPS 140 モード
サーバー側では FIPS 140 モードだが、クライアント側では FIPS なし
サーバー側では FIPS 140 なしモードだが、クライアント側では FIPS モード
ssh-keygen コマンドには、FIPS モードの Secure Shell クライアントに必要な PKCS #8 形式でユーザーの非公開鍵を生成するためのオプションがあります。詳細は、ssh-keygen(1) のマニュアルページを参照してください。
FIPS 140 の詳細は、Using a FIPS 140 Enabled System in Oracle Solaris 11.2 を参照してください。また、sshd(1M)、sshd_config(4)、ssh(1)、および ssh_config(4) のマニュアルページも参照してください。
Secure Shell の操作に Sun Crypto Accelerator 6000 カードを使用すると、Secure Shell はレベル 3 の FIPS 140 サポートを受けて実行されます。レベル 3 のハードウェアは、物理的な改ざんへの耐性があり、ID ベースの認証を使用し、重要なセキュリティーパラメータを処理するインタフェースをハードウェアのほかのインタフェースから分離するものとして認定されています。