보안 셸은 OpenSSL FIPS 140 모듈의 소비자입니다. Oracle Solaris는 서버측 및 클라이언트측에 대한 FIPS 140 옵션을 제공합니다. FIPS 140 요구 사항을 준수하기 위해 관리자는 FIPS 140 옵션을 구성하고 사용해야 합니다.
FIPS 모드(보안 셸이 OpenSSL의 FIPS 140 모드를 사용하는 것)는 기본값이 아닙니다. 관리자는 보안 셸이 FIPS 140 모드에서 실행하도록 명시적으로 사용으로 설정해야 합니다. ssh -o "UseFIPS140 yes" remote-host 명령으로 FIPS 140 모드를 호출할 수 있습니다. 또는 구성 파일에서 키워드를 설정할 수 있습니다.
간단히 말해서 이 구현은 다음과 같은 항목들로 구성됩니다.
FIPS 140 승인 암호화 aes128-cbc, aes192-cbc, aes256-cbc는 서버 및 클라이언트측에서 사용할 수 있습니다.
3des-cbc는 클라이언트측에 기본적으로 제공되지만 잠재적인 보안 위험 때문에 서버측 암호화로는 제공되지 않습니다.
다음과 같은 FIPS 140 승인 MAC(Message Authentication Code)를 사용할 수 있습니다.
hmac-sha1, hmac-sha1-96
hmac-sha2-256, hmac-sha2-256-96
hmac-sha2-512, hmac-sha2-512-96
지원되는 4개의 서버-클라이언트 구성은 다음과 같습니다.
클라이언트 또는 서버측의 비FIPS 140 모드
클라이언트 및 서버측 모두의 FIPS 140 모드
서버측의 FIPS 140 모드, 클라이언트측의 비FIPS
서버측의 비FIPS 140 모드, 클라이언트측의 FIPS 모드
ssh-keygen 명령에는 FIPS 모드의 보안 셸 클라이언트에 필요한 PKCS #8 형식으로 사용자의 개인 키를 생성할 수 있는 옵션이 포함됩니다. 자세한 내용은 ssh-keygen(1) 매뉴얼 페이지를 참조하십시오.
FIPS 140에 대한 자세한 내용은 Using a FIPS 140 Enabled System in Oracle Solaris 11.2 을 참조하십시오. 또한 sshd(1M), sshd_config(4), ssh(1), ssh_config(4) 매뉴얼 페이지를 참조하십시오.
보안 셸 작업에 Sun Crypto Accelerator 6000 카드를 사용하면 보안 셸은 레벨 3의 FIPS 140 지원으로 실행됩니다. 레벨 3 하드웨어는 물리적 변조를 방지하고, ID 기반 인증을 사용하고, 하드웨어의 기타 인터페이스에서 중요한 보안 매개변수를 처리하는 인터페이스를 격리할 수 있는 것으로 인증되었습니다.