1. システム・セキュリティの強化
  2. Oracle Linux 8のFIPS 140-2準拠

5 Oracle Linux 8におけるFIPS 140-2準拠

Oracle Linuxでは、Federal Information Processing Standard (FIPS) Publication 140-2で検証される一連の暗号化ライブラリ、サービスおよびユーザーレベルの暗号化アプリケーションを提供します。

FIPS Publication 140-2の暗号化モジュールのセキュリティ要件に関する項では、機密情報であるが、分類されていない情報を保護するためにセキュリティ・システム内で使用される暗号化モジュールで満たす必要があるセキュリティ要件が指定されています。NIST/CSE Cryptographic Module Validation Program (CMVP)は、FIPS 140-2に対して暗号化モジュールを検証します。検証された製品は、機密情報または指定された情報を保護するために、米国とカナダの両方の連邦機関によって受け入れられます。

Oracle Linux 8.4用のFIPS検証済暗号化モジュール

次の表では、x86_64およびAARCH64プラットフォーム用のOracle Linux 8.4内の暗号化コンポーネントについて、オラクル社のFIPS 140-2レベル1認定を説明します。リストされているパッケージ・バージョンは、特定のモジュールの論理暗号化境界にある情報を反映しています。

暗号化モジュール名 パッケージ・バージョン 認定番号

Oracle Linux 8 OpenSSL暗号化モジュール

openssl-libs-1.1.1g-15.el8_3.x86_64

openssl-libs-1.1.1g-15.el8_3.aarch64

4215 (x86_64およびaarch64)

Oracle Linux 8 libgcrypt暗号化モジュール

libgcrypt-1.8.5-4.0.1.el8.x86_64

libgcrypt-1.8.5-4.0.1.el8.aarch64

4232 (x86_64およびaarch64)

Oracle Linux 8 NSS暗号化モジュール

nss-softokn-3.53.1-17.el8_3.x86_64

nss-softokn-3.53.1-17.el8_3.aarch64

4226 (x86_64およびaarch64)

Oracle Linux 8 GnuTLS暗号化モジュール

gnutls-3.6.14-8.0.1.el8.x86_64

gnutls-3.6.14-8.0.1.el8.aarch64

4229 (x86_64およびaarch64)

Oracle Linux Unbreakable Enterprise Kernel (UEK 6)暗号化モジュール

kernel-uek-5.4.17-2102.202.5.el8uek.x86_64

kernel-uek-5.4.17-2102.202.5.el8uek.aarch64

4211 (x86_64およびaarch64)

Oracle Linuxモジュールに関わるFIPS検証の最新情報は、https://www.oracle.com/corporate/security-practices/assurance/development/external-security-evaluations/FIPS/certifications.htmlを参照してください。

Oracle Linux 8.4用のFIPS検証済暗号化モジュール用パッケージがある場所

Oracle Linux 8.4用のFIPS検証済暗号化モジュールが含まれている、専用のUnbreakable Linux Network (ULN)チャネルおよびyumリポジトリを次に示します。

x86_64プラットフォーム:

  • ol8_x86_64_u4_security_validation ULNチャネル

  • ol8_u4_security_validation yumリポジトリ

aarch64プラットフォーム:

  • ol8_aarch64_u4_security_validation ULNチャネル

  • ol8_u4_security_validation yumリポジトリ

なお、ol8_u4_security_validation yumリポジトリはx86_64プラットフォームおよびaarch64プラットフォーム用の共通リポジトリ名です。このリポジトリには、両方のプラットフォーム用のFIPS検証済パッケージが含まれています。

FIPS検証済暗号化モジュールのインストールに関する具体的な手順は、Oracle Linux 8用のFIPS検証済暗号化モジュールのインストールを参照してください。

FIPS 140-2検証を受けたモジュールの詳細

このサイトには、各モジュールに関する次の情報が含まれています。

  • モジュールの名前および説明。

  • モジュールのパッケージ・バージョン。

  • FIPS 140-2の検証プロセスのステータス。

    重要:

    FIPS Publication 140-2に準拠するには、セキュリティ・ポリシー・ドキュメントで各モジュール専用に指定するパッケージ・バージョンを使用する必要があります。暗号化モジュールの他のバージョンをインストールして使用することはできません。

  • FIPSモード用にモジュールを構成する方法の手順。モジュールのインストール時にセキュリティ・ポリシー・ドキュメントの10項を参照して、パッケージがFIPS 140-2検証されたことを確認し、そのモジュールがFIPSモードに対して正しく有効化されていることを確認します。

FIPSモードでのシステムの構成

次の手順では、Oracle Linux 8システムでFIPSモードを有効または無効にする方法について説明します。このリリースでFIPSモードを有効または無効にする方法は、以前のOracle Linuxリリースで使用されていた方法から大幅に変更されています。特に、dracut-fipsパッケージは存在しないので、Oracle Linux 8でFIPSモードを有効にするために、これをインストールする必要はありません。また、GRUB構成ファイルを編集する必要もなくなりました。かわりに、次の手順で説明するように、fips-mode-setupユーティリティを使用してFIPSモードを設定および構成します。

注意:

Oracle LinuxコンテナでのFIPSモードの有効化の詳細は、『Oracle Linux Podmanユーザー・ガイド』のコンテナの管理に関する項を参照してください。

FIPSモードの有効化

  1. システムでFIPSモードを有効にするには、次のコマンドを実行します。 

    sudo fips-mode-setup --enable

    次のような出力結果が表示されます。 

    Setting system policy to FIPS
FIPS mode will be enabled.
Please reboot the system for the setting to take effect.

    設定を有効にするには、システムをリブートする必要があります。

    前述のコマンドを実行すると、システム全体の暗号化ポリシーをFIPSに設定することによって、FIPSモードが暗黙的に構成されます。次の出力に示すように、update-crypto-policiesコマンドを使用してFIPSモードを設定するだけでは不十分です。 

    sudo update-crypto-policies --set FIPS

    次のような出力結果が表示されます。 

    Warning: Using 'update-crypto-policies --set FIPS' is not sufficient for FIPS compliance.
Use 'fips-mode-setup --enable' command instead.

  2. 次のいずれかのコマンドを実行して、FIPSが有効になっていることを確認します。 

    sudo fips-mode-setup --check
    sudo update-crypto-policies --show
    sudo cat /etc/system-fips
    sudo sysctl crypto.fips_enabled 
    crypto.fips_enabled = 1

    最後の例のコマンド出力の場合、1というレスポンスはFIPSが有効であることを示します。

FIPSモードの無効化

なんらかの理由でFIPSモードを無効にする必要がある場合は、次のコマンドを実行します。 

sudo fips-mode-setup --disable
Setting system policy to DEFAULT
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.
FIPS mode will be disabled.
Please reboot the system for the setting to take effect.

設定を有効にするには、システムをリブートする必要があります。

Oracle Linux 8用のFIPS検証済暗号化モジュールのインストール

Oracle Linux 8でFIPSモードを有効にすると、必要に応じてFIPS検証済暗号化モジュールをインストールできます。FIPS検証済暗号化モジュールのパッケージの場所については、Oracle Linux 8.4用のFIPS検証済暗号化モジュール用パッケージがある場所を参照してください。

次の情報は、FIPS暗号化モジュールのインストールおよび有効化のサポートを含む、Oracle Linux 8リリースを実行しているシステムに適用されます。

注意:

Oracle Linux 8.4より前の更新を実行しているOracle Linux 8システムでは、FIPS暗号化モジュールを使用できません。

FIPS検証済暗号化モジュールをインストールするには、インストールする予定のFIPSモジュールのセキュリティ・ポリシー・ドキュメントの10項を参照してください。

セキュリティ・ポリシー・ドキュメントでは、パッケージがFIPS 140-2検証済であることを確認する方法と、FIPSモード用にモジュールを構成する方法について説明します。NIST FIPS 140検証ページへのリンクを含む認定番号は、「Oracle Linux 8.4用のFIPS検証済暗号化モジュール」を参照してください。このページには、FIPS認定およびセキュリティ・ポリシー・ドキュメントの詳細が表示されます。