FIPS 140-2 モードで動作するには、FIPS 140-2 対応システム上のアプリケーションは、米国政府が Oracle Solaris 上で FIPS 140-2 モードで検証したアルゴリズムを使用する必要があります。FIPS 140-2 プロバイダが有効になっている場合、一部のコンシューマは、デフォルトで FIPS 140-2 アルゴリズムを使用します (passwd コマンドなど)。その他のコンシューマでは、構成で FIPS 140-2 アルゴリズムのみを使用する必要があります。
管理者には、Oracle Solaris に対して検証された FIPS 140-2 アルゴリズムを使用するようにコンシューマを構成し、無効なアルゴリズムを避ける責任があります。次のガイドラインに従ってください。
Oracle Solaris 上で使用できるが、Oracle Solaris の FIPS 140-2 検証に含まれていないアルゴリズム (2 つの鍵のトリプル DES など) は避けてください。
Oracle Solaris の FIPS 140-2 証明書に含まれているが、鍵の長さが FIPS 140-2 に必要な長さより短いアルゴリズムは避けてください (1024 ビット RSA など)。
Oracle Solaris の FIPS 140-2 証明書に含まれているが、コンシューマで使用できないアルゴリズム (IKEv2 での Koblitz 曲線に基づく楕円曲線暗号化 (ECC) など) は避けてください。IKEv2 は、素数に基づく ECC のみをサポートしています。
Oracle Solaris の FIPS 140-2 証明書に含まれていないが、暗号化フレームワークには含まれているアルゴリズム (MD5 対称鍵アルゴリズムや、その他の対称アルゴリズムの弱いバージョンなど) は避けてください。
コンシューマでその他のアルゴリズムを使用できる場合でも、FIPS 140-2 アルゴリズムのみを指定してください。多くのコンシューマがこのカテゴリに分類されます。
Oracle Solaris 11.3 は、Apache HTTP Server の 2 つのバージョンを提供します。Version 2.4 はパッケージ pkg:/web/server/apache-24 としてインストールされ、Version 2.2 はパッケージ pkg:/web/server/apache-22 としてインストールされます。FIPS 140-2 モードで動作するには、Version 2.4 は、FIPS 140-2 OpenSSL プロバイダまたは PKCS #11 エンジンオプションを使用できます。Version 2.2 は、暗号化フレームワークである PKCS #11 エンジンオプションを使用する必要があります。
暗号化フレームワーク (pktool gencert コマンド) または OpenSSL の FIPS 140-2 バージョン (openssl -newkey コマンド) を使用して、Web サーバー証明書を生成できます。
構成ステップについては、Oracle Solaris 11.3 SRU 5.6 システム上で FIPS 140-2 モードで実行する例を参照してください。
関連項目:
openssl (1openssl) のマニュアルページ
openssl(5) のマニュアルページ
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の SSL カーネルプロキシ を使用するように Apache 2.2 Web サーバーを構成する方法
ksslcfg(1M) のマニュアルページ
Oracle Solaris 11.3 は、Secure Shell の 2 つのバージョンである SunSSH と OpenSSH を提供します。FIPS 140-2 モードで動作できるのは、Secure Shell の SunSSH バージョンだけです。
管理者は、明示的に SunSSH を FIPS 140-2 モードで動作できるようにする必要があります。FIPS 140-2 モードでは、SunSSH は FIPS 140-2 で検証されていないアルゴリズムを使用するように構成されている場合、エラーで失敗します。手順については、Oracle Solaris 11.3 での Secure Shell アクセスの管理 の SunSSH と FIPS 140-2を参照してください。この手順には、検証された FIPS 140-2 アルゴリズムのリストが含まれています。
サンプル構成については、Oracle Solaris 11.3 SRU 5.6 システム上で FIPS 140-2 モードで実行する例を参照してください。
関連項目:
sshd_config(4) および ssh_config(4) のマニュアルページ
ssh-keygen(1) のマニュアルページ
IP セキュリティーアーキテクチャー (IPsec) は、IPv4 および IPv6 ネットワークで IP パケットを暗号化して保護します。インターネット鍵管理 (IKE) は、IPsec のための自動化された鍵管理を提供します。Oracle Solaris では、IPsec はカーネル暗号化フレームワークのコンシューマであり、IKE バージョン 2 (IKEv2) はユーザーランド暗号化フレームワークのコンシューマです。IPsec および IKE 管理者には、IPsec とともに IKEv2 を使用し、Oracle Solaris に対して検証された FIPS 140-2 アルゴリズムを選択する責任があります。
関連項目:
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec を使用してほかのサーバーとの Web サーバー通信を保護する方法
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 自己署名付き公開鍵証明書により IKEv2 を構成する方法
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の ハードウェア上で IKEv2 の公開鍵証明書を生成および格納する方法
ipsecconf(1M)、ikev2cert(1M)、ikev2.config(4)、および pktool(1) のマニュアルページ
Kerberos クライアントはパッケージ pkg:/service/security/kerberos-5 としてインストールされ、KDC マネージャーはパッケージ pkg:/system/security/kerberos-5 としてインストールされます。Kerberos 管理者には、Kerberos サーバー、Kerberos データベース、および Kerberos クライアントで、Oracle Solaris に対して検証された FIPS 140-2 アルゴリズムを使用できるようにする責任があります。
KDC データベースと Kerberos クライアントに使用する暗号化タイプは、複数の Kerberos 構成ファイルで指定されます。これらのファイルでは、FIPS 140-2 暗号化タイプのみが使用され、弱い鍵が許可されないように Kerberos を構成する必要があります。
手順については、Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の FIPS 140-2 モードで実行するように Kerberos を構成する方法を参照してください。
関連項目:
kdc.conf(4) および krb5.conf(4) のマニュアルページ
kdb5_util(1M) および krb5kdc(1M) のマニュアルページ
鍵管理フレームワーク (KMF) は、Oracle Solaris で暗号化鍵と暗号化ポリシーを管理します。pktool は、対称鍵と非対称鍵を作成するための KMF コマンドです。KMF 管理者には、Oracle Solaris に対して検証された FIPS 140-2 アルゴリズムを選択する責任があります。Oracle Solaris 11.3 での暗号化と証明書の管理 の pktool gencert コマンドを使って証明書を作成する方法の例および pktool(1) のマニュアルページを参照してください。
passwd コマンドは、ユーザーランド暗号化フレームワークのコンシューマです。2 つの構成ファイル /etc/security/crypt.conf と /etc/security/policy.conf によって、システムがどのパスワードハッシュを使用するかが決定されます。
passwd コマンドは、PAM モジュール pam_authtok_store.so.1 と pam_unix_auth.so.1 を使用して crypt() 関数を呼び出します。crypt() 関数は、crypt.conf ファイル内のエントリに基づいて、メッセージダイジェストライブラリ libmd() からパスワードハッシュのプラグインを動的にロードします。使用可能なプラグインには、SHA256、SHA512、および MD5 が含まれます。policy.conf ファイルには、許可されているプラグインが一覧表示されています。デフォルトでは、policy.conf ファイルで MD5 を使用することが許可されません。
例については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 信頼できるユーザーのログインの作成およびOracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 役割の作成を参照してください。
関連項目:
crypt(3C) および libmd(3LIB) のマニュアルページ
crypt.conf(4) および policy.conf(4) のマニュアルページ
ユーザーコマンド encrypt、decrypt、digest、および mac は、暗号化フレームワークのコンシューマです。サイトのセキュリティーチームは、通常のユーザーが検証された鍵の長さの FIPS 140-2 アルゴリズムを選択するように指導してください。
例については、次を参照してください。
encrypt(1)、decrypt(1)、digest(1)、および mac(1) のマニュアルページ