Les applications cryptographiques hébergées sur un système SuperCluster se fondent sur la structure cryptographique d'Oracle Solaris, qui est validée pour la conformité FIPS 140-2 de niveau 1. Cette structure est le point central pour les opérations cryptographiques d'Oracle Solaris. Elle fournit deux modules vérifiés par FIPS 140, qui prennent en charge les processus au niveau espace utilisateur et noyau. Ces modules de bibliothèque assurent des fonctions de chiffrement, de déchiffrement, de hachage, de génération et de vérification de signature, de génération et de vérification de certificat, ou encore d'authentification de message pour les applications. Les applications de niveau utilisateur qui appellent ces modules s'exécutent en mode FIPS 140.
En complément de la structure cryptographique d'Oracle Solaris, le module OpenSSL intégré à Oracle Solaris et validé pour la conformité FIPS 140-2 de niveau 1 assure la cryptographie pour les applications basées sur les protocoles SSH (Secure Shell) et TLS. Le fournisseur de services de cloud peut choisir d'activer les hôtes locataires dans des modes conformes à la norme FIPS 140. Lors d'une exécution conforme à la norme FIPS 140, Oracle Solaris et OpenSSL, qui sont des fournisseurs FIPS 140-2, utilisent des algorithmes cryptographiques validés par FIPS 140.
Reportez-vous également à la section (Si nécessaire) Activation du fonctionnement compatible avec la norme FIPS-140 (Oracle ILOM).
Ce tableau répertorie les algorithmes approuvés par FIPS qui sont pris en charge par Oracle Solaris sur les serveurs SuperCluster série M7.
| ||||||||||||||||||||||||||||||||||||||||||||||||
Oracle Solaris propose deux fournisseurs d'algorithmes cryptographiques qui sont validés pour la norme FIPS 140-2 de niveau 1.
La structure cryptographique d'Oracle Solaris est le point central de stockage pour les opérations cryptographiques sur un système Oracle Solaris et fournit deux modules FIPS 140. Le module utilisateur fournit la cryptographie pour les applications exécutées dans l'espace utilisateur, tandis que le module noyau la fournit aux processus au niveau noyau. Ces modules de bibliothèque assurent des fonctions de chiffrement, de déchiffrement, de hachage, de génération et de vérification de signature, de génération et de vérification de certificat, ainsi que d'authentification de message pour les applications. Les applications au niveau de l'utilisateur qui appellent ces modules s'exécutent en mode FIPS 140, par exemple, la commande passwd et IKEv2. Les consommateurs au niveau du noyau, par exemple Kerberos et IPsec, utilisent des API propriétaires pour appeler la structure cryptographique du noyau.
Le module OpenSSL fournit la cryptographie aux applications SSH et Web. OpenSSL est la boîte à outils Open Source des protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS) et fournit une bibliothèque de cryptographie. Dans Oracle Solaris, SSH et le serveur Web Apache sont des consommateurs du module OpenSSL FIPS 140. Oracle Solaris fournit une version FIPS 140 d'OpenSSL avec Oracle Solaris 11.2, qui est accessible à tous les consommateurs, mais la version livrée avec Oracle Solaris 11.1 est disponible pour Solaris SSH uniquement. Etant donné que les modules de fournisseur FIPS 140 2 peuvent nécessiter un grand nombre de CPU, ils sont désactivés par défaut. En tant qu'administrateur, vous êtes responsable de l'autorisation des fournisseurs en mode FIPS 140 et de la configuration des consommateurs.
Pour plus d'informations sur l'activation des fournisseurs FIPS 140 sur Oracle Solaris, reportez-vous au document intitulé Using a FIPS 140 Enabled System in Oracle Solaris 11.2 (en anglais uniquement), disponible sous l'en-tête Sécurisation du système d'exploitation Oracle Solaris 11 à l'adresse : http://docs.oracle.com/cd/E36784_01.