Oracle Solaris 對於 SuperCluster 上代管的加密應用程式,使用符合 FIPS 140-2 等級 1 規範驗證的加密架構。Oracle Solaris 加密架構是 Oracle Solaris 的中央加密存放區,此架構提供兩個符合 FIPS 140 驗證的模組,這些模組都支援使用者空間和核心層次的處理作業。這些程式庫模組提供應用程式的加密、解密、雜湊、簽章產生和驗證、憑證產生和驗證以及訊息認證功能。呼叫這些模組的使用者層次應用程式會以 FIPS 140 模式執行。
除了 Oracle Solaris 加密架構外,隨附於 Oracle Solaris 的 OpenSSL 物件模組符合 FIPS 140-2 等級 1 規範驗證,可支援以安全 Shell 和 TLS 協定為基礎的應用程式加密。雲端服務提供者可選擇開啟用戶主機的 FIPS 140 相容模式。以 FIPS 140 相容模式執行時,Oracle Solaris 與 OpenSSL (兩者都是 FIPS 140-2 提供者) 可強制使用經 FIPS 140 驗證的加密演算法。
另請參閱(如有需要) 啟用 FIPS-140 相容作業 (Oracle ILOM)。
此表格列出 SuperCluster M7 中 Oracle Solaris 支援的 FIPS 核准演算法。
|
Oracle Solaris 提供兩種符合 FIPS 140-2 等級 1 規範驗證的加密演算法提供者。
Oracle Solaris 的「加密架構」功能是 Oracle Solaris 系統的中央加密存放區,此架構提供兩種 FIPS 140 模組。userland 模組為使用者空間執行的應用程式提供加密,kernel 模組為核心層次的處理作業提供加密。這些程式庫模組提供應用程式的加密、解密、雜湊、簽章產生和驗證、憑證產生和驗證以及訊息認證功能。呼叫這些模組的使用者層次應用程式會以 FIPS 140 模式執行,例如 passwd 指令與 IKEv2。核心層次用戶 (例如 Kerberos 與 IPsec) 會使用專屬 API 呼叫核心「加密架構」。
OpenSSL 物件模組為 SSH 和 Web 應用程式提供加密。OpenSSL 是「安全通訊端層 (SSL)」與「傳輸層安全 (TLS)」協定的開放程式碼工具程式,並提供一個加密程式庫。在 Oracle Solaris 中,SSH 和 Apache Web Server 是 OpenSSL FIPS 140 模組的用戶。Oracle Solaris 在 Oracle Solaris 11.2 中隨附 FIPS 140 版的 OpenSSL,可供所有用戶使用,但 Oracle Solaris 11.1 隨附的版本僅供 Solaris SSH 使用。由於 FIPS 140-2 提供者模組會耗用大量 CPU,因此預設未啟用。若您為管理員,則必須負責以 FIPS 140 模式啟用提供者並設定用戶。
如需在 Oracle Solaris 上啟用 FIPS-140 提供者的詳細資訊,請參閱「保護 Oracle Solaris 11 作業系統安全」標題下名為「Using a FIPS 140 Enabled System in Oracle Solaris 11.2」的文件,網址為:http://docs.oracle.com/cd/E36784_01。