SuperCluster にホストされている暗号化アプリケーションは、FIPS 140-2 レベル 1 に準拠しているかどうかが検証される Oracle Solaris の暗号化フレームワーク機能に依存します。Oracle Solaris 暗号化フレームワークは、Oracle Solaris の主要な暗号化ストアであり、ユーザー空間とカーネルレベルのプロセスをサポートする 2 つの FIPS 140 検証済みモジュールを提供します。これらのライブラリモジュールは、アプリケーションに暗号化、復号化、ハッシュ処理、署名の生成と検証、証明書の生成と検証、およびメッセージ認証機能を提供します。これらのモジュールを呼び出すユーザーレベルのアプリケーションは、FIPS 140 モードで実行されます。
Oracle Solaris 暗号化フレームワークに加えて、Oracle Solaris にバンドルされている OpenSSL オブジェクトモジュールも、Secure Shell と TLS プロトコルに基づいたアプリケーションの暗号化をサポートする FIPS 140-2 レベル 1 に準拠しているかどうかが検証されます。クラウドサービスプロバイダは、FIPS 140 準拠モードでテナントホストが有効になるように選択できます。FIPS 140-2 プロバイダである Oracle Solaris および OpenSSL が FIPS 140 準拠モードで実行されている場合は、FIPS 140 検証済みの暗号化アルゴリズムが強制的に使用されます。
(必要な場合) FIPS-140 準拠の動作の有効化 (Oracle ILOM)も参照してください。
この表は、SuperCluster M7 上の Oracle Solaris でサポートされている FIPS 承認済みのアルゴリズムが一覧表示されています。
|
Oracle Solaris システムでは、FIPS 140-2 レベル 1 について検証された暗号化アルゴリズムのプロバイダが 2 つ提供されています。
Oracle Solaris の暗号化フレームワーク機能は、Oracle Solaris システム上の主要な暗号化ストアであり、2 つの FIPS 140 モジュールを提供します。ユーザーランドモジュールは、ユーザー空間で動作するアプリケーションに暗号化を提供し、カーネルモジュールは、カーネルレベルのプロセスに暗号化を提供します。これらのライブラリモジュールは、アプリケーションに暗号化、復号化、ハッシュ処理、署名の生成と検証、証明書の生成と検証、およびメッセージ認証機能を提供します。これらのモジュールを呼び出すユーザーレベルのアプリケーション (passwd コマンドや IKEv2 など) は、FIPS 140 モードで実行されます。カーネルレベルのコンシューマ (Kerberos や IPsec など) は、独自の API を使用してカーネル暗号化フレームワークを呼び出します。
OpenSSL オブジェクトモジュールは、SSH および Web アプリケーション用の暗号化を提供します。OpenSSL は、Secure Sockets Layer (SSL) および Transport Layer Security (TLS) プロトコル用のオープンソースのツールキットであり、暗号化ライブラリを提供します。Oracle Solaris では、SSH および Apache Web Server が OpenSSL FIPS 140 モジュールのコンシューマです。Oracle Solaris では、OpenSSL の FIPS 140 バージョンにすべてのコンシューマが使用できる Oracle Solaris 11.2 が付属していますが、Oracle Solaris 11.1 に付属するバージョンは Solaris SSH のみが使用できます。FIPS 140-2 プロバイダモジュールは CPU を集中的に使用するため、デフォルトでは有効になっていません。管理者には、FIPS 140 モードでプロバイダを有効にし、コンシューマを構成する責任があります。
Oracle Solaris での FIPS-140 プロバイダの有効化の詳細は、見出し「Oracle Solaris 11 オペレーティングシステムのセキュリティー保護」(http://docs.oracle.com/cd/E36784_01) の下に表示される『Using a FIPS 140 Enabled System in Oracle Solaris 11.2』というタイトルのドキュメントを参照してください。