Die in SuperCluster gehosteten kryptografischen Anwendungen beruhen auf der Cryptographic Framework-Funktion von Oracle Solaris, die auf FIPS 140-2 Level 1-Compliance validiert wird. Oracle Solaris Cryptographic Framework ist der zentrale kryptografische Speicher für Oracle Solaris. Er stellt zwei FIPS 140–geprüfte Module bereit, die die Userspace- und Kernel-Level-Prozesse unterstützen. Diese Bibliotheksmodule stellen Funktionen zu Verschlüsselung, Entschlüsselung, Hashing, Signaturgenerierung und -prüfung, Zertifikatsgenerierung und -prüfung sowie Nachrichtenauthentifizierung bereit. Anwendungen auf Benutzerebene, die diese Module aufrufen, werden im FIPS-140-Modus ausgeführt.
Neben Oracle Solaris Cryptographic Framework wird das OpenSSL-Objektmodul, das mit Oracle Solaris gebündelt ist, auf FIPS 140-2 Level 1-Compliance validiert, die die Kryptografie für Anwendungen basierend auf den Secure Shell- und TLS-Protokollen unterstützt. Der Cloud-Serviceprovider kann wählen, ob Mandantenhosts mit FIPS 140–konformen Modi aktiviert werden sollen. Bei der Ausführung in FIPS 140–konformen Modi setzen Oracle Solaris und OpenSSL, die FIPS 140-2-Provider sind, die Verwendung von FIPS 140–validierten kryptografischen Algorithmen durch.
Hierzu wird auch auf (Falls erforderlich) Aktivieren eines FIPS-140-konformen Vorgangs (Oracle ILOM) verwiesen.
In dieser Tabelle werden FIPS-genehmigte Algorithmen aufgeführt, die von Oracle Solaris in SuperCluster M7 unterstützt werden.
| ||||||||||||||||||||||||||||||||||||||||||||||||
Oracle Solaris bietet zwei Provider von kryptografischen Algorithmen, die auf FIPS 140-2 Level 1 validiert sind.
Die Cryptographic Framework-Funktion von Oracle Solaris ist der zentrale kryptografische Speicher in einem Oracle Solaris-System; sie stellt zwei FIPS 140-Module bereit. Das Userland-Modul stellt Kryptografie für Anwendungen bereit, die im Userspace ausgeführt werden, während das Kernel-Modul Kryptografie für Kernel-Level-Prozesse bereitstellt. Diese Bibliotheksmodule stellen Funktionen zu Verschlüsselung, Entschlüsselung, Hashing, Signaturgenerierung und -prüfung, Zertifikatsgenerierung und -prüfung sowie Nachrichtenauthentifizierung bereit. Anwendungen auf Benutzerebene, die diese Module aufrufen, werden im FIPS 140-Modus ausgeführt; Beispiel: passwd-Befehl und IKEv2. Kernel-Level-Consumer, beispielsweise Kerberos und IPsec, verwenden proprietäre APIs für Aufrufe im Kernel Cryptographic Framework.
Das OpenSSL-Objektmodul stellt Kryptografie für SSH- und Webanwendungen bereit. OpenSSL ist das Open Source-Toolkit für die Secure Sockets Layer-(SSL-) und Transport Layer Security-(TLS-)Protokolle und stellt eine Kryptografiebibliothek bereit. In Oracle Solaris sind SSH und der Apache-Webserver Consumer des OpenSSL FIPS 140-Moduls. Oracle Solaris stellt eine FIPS 140-Version von OpenSSL mit Oracle Solaris 11.2 bereit, die für alle Consumer verfügbar ist, die mit Oracle Solaris 11.1 gelieferte Version ist jedoch nur für Solaris SSH verfügbar. Weil FIPS 140-2-Providermodule CPU-intensiv sind, sind sie standardmäßig nicht aktiviert. Als Administrator sind Sie für die Aktivierung der Provider im FIPS 140-Modus und die Konfiguration von Consumern verantwortlich.
Weitere Informationen zur Aktivierung von FIPS-140-Providern in Oracle Solaris finden Sie in dem Dokument Using a FIPS 140 Enabled System in Oracle Solaris 11.2, das unter der Überschrift "Securing the Oracle Solaris 11 Operating System" unter: http://docs.oracle.com/cd/E36784_01 verfügbar ist.