Las aplicaciones criptográficas alojadas en MiniCluster dependen de la función de estructura criptográfica de Oracle Solaris, que está validada para la conformidad con FIPS 140-2 nivel 1. La estructura criptográfica de Oracle Solaris es el almacén criptográfico central de Oracle Solaris y proporciona dos módulos verificados por FIPS 140 que admiten los procesos de nivel de núcleo y espacio de usuario. Estos módulos de biblioteca proporcionan funciones de cifrado, descifrado, hash, generación y verificación de firmas y certificados, y autenticación de mensajes para aplicaciones. Las aplicaciones de nivel de usuario que llaman a estos módulos se ejecutan en el modo FIPS 140.
Además de la estructura criptográfica de Oracle Solaris, el módulo de objetos OpenSSL incluido en Oracle Solaris está validado para la conformidad con FIPS 140-2 nivel 1, que admite la criptografía para aplicaciones basadas en los protocolos TLS y de shell seguro. El proveedor de servicios de la nube puede elegir activar los hosts de inquilinos mediante modos que cumplen con FIPS 140. Si Oracle Solaris y OpenSSL, que son proveedores de FIPS 140-2, se ejecutan en modos que cumplen con FIPS 140, aplique el uso de algoritmos criptográficos validados por FIPS 140.
Consulte también Activación de operación que cumple con FIPS-140 (Oracle ILOM) (si se requiere).
En esta tabla, se muestran los algoritmos aprobados por FIPS que admite Oracle Solaris en MiniCluster.
|
Oracle Solaris ofrece dos proveedores de algoritmos criptográficos validados para FIPS 140-2 nivel 1.
La función de estructura criptográfica de Oracle Solaris es el almacén criptográfico central de un sistema Oracle Solaris y proporciona dos módulos FIPS 140. El módulo de espacio de usuario proporciona criptografía para las aplicaciones que se ejecutan en el espacio de usuario, y el módulo de núcleo proporciona criptografía para los procesos en el nivel de núcleo. Estos módulos de biblioteca proporcionan funciones de cifrado, descifrado, hash, generación y verificación de firmas y certificados, y autenticación de mensajes para aplicaciones. Las aplicaciones de nivel de usuario que llaman a estos módulos se ejecutan en el modo FIPS 140, por ejemplo, el comando passwd e IKEv2. Los consumidores en el nivel del núcleo, por ejemplo, Kerberos e IPsec, utilizan API patentadas para llamar a la estructura criptográfica del núcleo.
El módulo de objetos OpenSSL proporciona criptografía para SSH y aplicaciones web. OpenSSL es el kit de herramientas de código abierto para los protocolos de capa de conexión segura (SSL) y de seguridad de capa de transporte (TLS), y proporciona una biblioteca de criptografía. En Oracle Solaris, SSH y el servidor web Apache son consumidores del módulo FIPS 140 de OpenSSL. Oracle Solaris envía una versión FIPS 140 de OpenSSL con Oracle Solaris 11.2 que está disponible para todos los consumidores, pero la versión que se envía con Oracle Solaris 11.1 está disponible solamente para SSH de Solaris. Debido a que los módulos del proveedor FIPS 140-2 hacen un uso intensivo de la CPU, no están activados por defecto. Como administrador, usted es responsable de la activación de los proveedores en el modo FIPS 140 y de la configuración de los consumidores.
Para obtener más información sobre cómo activar los proveedores FIPS-140 en Oracle Solaris, consulte el documento llamado Using a FIPS 140 Enabled System in Oracle Solaris 11.2 (Uso de un sistema activado para FIPS 140 en Oracle Solaris 11.2), disponible en la sección Protección del sistema operativo Oracle Solaris 11 en: http://docs.oracle.com/cd/E36784_01.