このセクションでは、FIPS 140-2 モードで使用できるアルゴリズムと、避けるべきアルゴリズムのリストを示します。
暗号化フレームワークのコンシューマが FIPS 140-2 で検証されたアルゴリズムを確実に使用するようにするには、検証されたアルゴリズム、モード、および鍵の長さの次のサマリーのアルゴリズムを選択します。
アルゴリズムの最終的なリストについては、Oracle Solaris システムでの FIPS 140-2 レベル 1 証明書のリファレンスにあるセキュリティーポリシーのリファレンスを確認してください。
AES – 次のモードと鍵の長さを持つもののみ。
CBC モード – 128 ビット、192 ビット、および 256 ビットの鍵の長さ
CCM モード – 128 ビット、192 ビット、および 256 ビットの鍵の長さ
CFB モード – 128 ビットの鍵の長さ
CTR モード – 128 ビット、192 ビット、および 256 ビットの鍵の長さ
ECB モード – 128 ビット、192 ビット、および 256 ビットの鍵の長さ
GCM モード – 128 ビット、192 ビット、および 256 ビットの鍵の長さ
XTS モード - 128 ビットおよび 256 ビットの鍵の長さ (データストレージのみ)
3DES – 鍵オプション 1 の CBC および ECB モードで。
Diffie-Hellman - 鍵合意で使用されます (2048 ビットから 5012 ビットまでの鍵の長さ、ユーザーランド暗号化フレームワークのみ)。
楕円曲線 Diffie-Hellman - 鍵合意での使用が許可されます (2048 ビットから 5012 ビットまでの鍵の長さ、ユーザーランド暗号化フレームワークのみ)。
DSA – 2048 ビット以上の鍵の長さ。
ECC – 次の曲線を持つもののみ。ECC によって ECDSA と ECDH が影響を受けます。最初の名前は NIST の名前であり、2 番目の名前は Oracle Solaris での同等の名前です。
P-192 – secp192r1
P-224 – secp224r1
P-256 – secp256r1
P-384 – secp384r1
P-521 – secp521r1
B-163 – sect163r2
B-233 – sect233r1
B-283 – sect283r1
B-409 – sect409r1
B-571 – sect571r1
K-163 – sect163k1
K-233 – sect233k1
K-283 – sect283k1
K-409 – sect409k1
K-571 – sect571k1
HMAC SHA1 – バリアントはありません。
HMAC SHA2 – 224 ビットから 512 ビットまでの鍵の長さ。
ECDSA SHA1 - 署名検証。
RSA – SHA1 では 2048 ビット以上の鍵の長さ、SHA2 では 256 ビットから 512 ビットまでの鍵の長さ。
SHA1 – バリアントはありません。
SHA2 – 224 ビットから 512 ビットまでの鍵の長さ。
SHA512/224 – SHA-512 の切り詰められたバージョン。ここで、初期値は、2012 年 5 月の ITL 公報 (http://csrc.nist.gov/publications/nistbul/may-2012_itl-bulletin.pdf)で説明されている方法を使用して生成されます。
SHA512/256 – SHA-512 の切り詰められたバージョン。ここで、初期値は、2012 年 5 月の ITL 公報 (http://csrc.nist.gov/publications/nistbul/may-2012_itl-bulletin.pdf)で説明されている方法を使用して生成されます。
swrand - カーネル暗号化フレームワーク のソフトウェアエントロピーソース。カーネル暗号化フレームワークとユーザーランドの両方に、NIST で承認された DRBG (Deterministic Random Bit Generator) があります。NIST 特殊出版物 800-90A (http://csrc.nist.gov/publications/nistpubs/800-90A/SP800-90A.pdf) を参照してください。
intelrd - カーネル暗号化フレームワークのハードウェアエントロピープロバイダ。カーネル暗号化フレームワークとユーザーランドの両方に、NIST で承認された DRBG (Deterministic Random Bit Generator) があります。NIST 特殊出版物 800-90A (http://csrc.nist.gov/publications/nistpubs/800-90A/SP800-90A.pdf) を参照してください。
FIPS 140-2 構成では、鍵の長さが指定された次のアルゴリズムが許可されます。
RSA 鍵ラッピング - 112 ビットよりも長い鍵の長さが許可されます。
Diffie-Hellman 鍵合意 - 112 ビットよりも長い鍵の長さが許可されます (ユーザーランド暗号化フレームワークのみ)。
Elliptic Curve Diffie-Hellman (ECDH) 鍵合意 - 112 ビットよりも長い鍵の長さが許可されます (ユーザーランド暗号化フレームワークのみ)。
FIPS 140-2 モードでは、次のサマリーリストのアルゴリズムは使用できません(それが暗号化フレームワークで実装されていたり、またはほかのプロバイダに対して FIPS 140-2 で検証されたアルゴリズムである場合でも)。
アルゴリズムの最終的なリストについては、Oracle Solaris システムでの FIPS 140-2 レベル 1 証明書のリファレンスにあるセキュリティーポリシーのリファレンスを確認してください。
2 つの鍵のトリプル DES - 80 ビットのセキュリティーのみを提供する弱いアルゴリズムです (3DES とも表記)。
MD4 – 1990 年に Ronald Rivest によって開発されたメッセージダイジェストアルゴリズム (Message Digest Algorithm) 4 は、明らかに脆弱なアルゴリズムです。
MD5 および HMAC MD5 - メッセージダイジェストアルゴリズム 5 は、TLS でのみ FIPS 140-2 モードで使用できます。
1991 年に Ron Rivest によって開発された MD5 アルゴリズムは、128 ビットのハッシュ値を生成します。MD5 は一般に、データの整合性を検証するために使用されます。MD5 は、デジタルセキュリティーのための衝突耐性に依存する SSL 証明書やデジタル署名などのアプリケーションには適していません。
RC4 – ARCFOUR または ARC4 とも呼ばれる RC4 は、インターネットトラフィックを保護するために Transport Layer Security (TLS) で、またワイヤレスネットワークをセキュリティー保護するために WEP で使用されるソフトウェアストリーム暗号化方式です。RC4 は、出力鍵ストリームの先頭が破棄されないか、または鍵がランダムでない場合は明らかに脆弱です。
AES - 明示的に検証されていないモード (XCBC-MAC や CTS など)。
Blowfish – 1993 年に Bruce Schneier によって設計された対称鍵ブロック暗号化方式。これは独自仕様ではありません。
Camellia - 日本で開発され、AES との互換性があり、ソフトウェアとハードウェアの両方の実装 (低価格のスマートカードから高速のネットワークシステムまで) に適するように設計されています。
DES – IBM によって開発されたデータ暗号化規格 (Data Encryption Standard) は、1977 年に米国連邦情報処理標準 (FIPS) として公開されました。今日のコンピューティング環境では、その 56 ビットの鍵の長さは弱くなっています。
DSA 鍵生成 – 512 ビットおよび 1024 ビットの鍵の長さは弱くなっています。さらに長い鍵の長さが FIPS 140-2 で検証されています。
DSA 署名生成 – 512 ビットおよび 1024 ビットの鍵の長さは弱くなっています。さらに長い鍵の長さが FIPS 140-2 で検証されています。
DSA 署名検証 – 512 ビットの鍵の長さは弱くなっています。さらに長い鍵の長さが FIPS 140-2 で検証されています。
RSA 署名生成 – 256 ビット、512 ビット、および 1024 ビットの鍵の長さは弱くなっています。さらに長い鍵の長さが FIPS 140-2 で検証されています。
RSA 署名検証 – 256 ビットおよび 512 ビットの鍵の長さは弱くなっています。さらに長い鍵の長さが FIPS 140-2 で検証されています。
RSA 鍵ラッピング - 112 ビット未満の鍵の長さでは弱くなっています。FIPS 140-2 では、さらに長い鍵の長さが許可されます。
Diffie-Hellman - 112 ビット未満の鍵の長さでは弱くなっています。鍵合意では、さらに長い鍵の長さが許可されます (ユーザーランド暗号化フレームワークのみ)。
ECDH - 112 ビット未満の鍵の長さでは弱くなっています。鍵合意では、さらに長い鍵の長さが許可されます (ユーザーランド暗号化フレームワークのみ)。
Oracle Solaris システム上の FIPS 140-2 プロバイダのセキュリティーポリシーには、モジュールの仕様とインタフェースが記載され、FIPS 140-2 モードで動作するために検証された暗号化メカニズムの完全なリストが提供されています。
|
次の FIPS 140-2 標準ドキュメントと移行ドキュメントは、FIPS 140-2 プロセス、および非推奨または制限されたアルゴリズムとそのさらに弱いバリアントに関するガイダンスを提供します。
NIST 標準: FIPS PUB 140-2 (http://csrc.nist.gov/groups/STM/cmvp/standards.html)
Oracle Solaris システム上の FIPS 140-2 プロバイダのセキュリティーポリシーには、モジュールの仕様とインタフェースが記載され、FIPS 140-2 モードで動作するために検証された暗号化メカニズムの完全なリストが提供されています。
次の FIPS 140-2 標準ドキュメントと移行ドキュメントは、FIPS 140-2 プロセス、および非推奨または制限されたアルゴリズムとそのさらに弱いバリアントに関するガイダンスを提供します。
NIST 標準: FIPS PUB 140-2 (http://csrc.nist.gov/groups/STM/cmvp/standards.html)