FIPS 140-2 を有効にする

FIPS (連邦情報処理標準) は、暗号ハードウェアおよびソフトウェアのセキュリティー要件を指定するための一連の標準です。 1994 年に作成され、2001 年に FIPS 140-2 として知られる更新版の標準がリリースされました。

FIPS 140-2 セキュリティー・アルゴリズムは、ハードウェア・セキュリティー・モジュール (HSM) が互換性があり、FIPS の下で動作する機関および政府に準拠していることを確認する必要がある場合に有効にすることができます。 そのためには、以下のようにします。

1. 最初に、コマンド hsm show を使用して、FIPS モードが無効になっていることを確認します。

   	[jdoe1] lunash:>hsm show
   
   	Appliance Details:
   	==================
   	Software Version:   6.2.2-5
   
   	HSM Details:
   	============
   	HSM Label:                          jpmonge
   	Serial #:                           534071
   	Firmware:                           6.10.9
   	HSM Model:                          K6 Base
   	Authentication Method:              Password
   	HSM Admin login status:             Not Logged In
   	HSM Admin login attempts left:      3 before HSM zeroization!
   	RPV Initialized:                    No
   	Audit Role Initialized:             No
   	Remote Login Initialized:           No
   	Manually Zeroized:                  No
   
   	[OUTPUT OMITTED]
   
   	FIPS 140-2 Operation:
   	=====================
   	The HSM is NOT in FIPS 140-2 approved operation mode.
   
   	HSM Storage Information:
   	========================
   	Maximum HSM Storage Space (Bytes):   2097152
   	Space In Use (Bytes):                1468005
   	Free Space Left (Bytes):             629147
   	Command Result : 0 (Success)
   

   デバイスで FIPS が実行されていないことを示す「The HSM is NOT in FIPS 140-2 approved operation mode」(HSM は、FIPS 140-2 認定の動作モードではありません) という出力が表示されています。

2. hsm showpolicies コマンドを使用して FIPS モードを有効にする前に、ポリシーを確認してください。

   	[jdoe1] lunash:>hsm showpolicies
   
   	HSM Label:   jpmonge
   	Serial #:    534071
   	Firmware:    6.10.9
   
   	[OUTPUT OMITTED]
   
   	The following policies are set due to current configuration of this HSM and cannot be altered directly by the user.
   
   	Description                              Value
   	===========                              =====
   
   	PIN-based authentication                  True
   
   	The following policies describe the current configuration of this HSM and may be changed by the HSM Administrator.
   
   	Changing policies marked "destructive" will zeroize (erase completely) the entire HSM.
   
   	Description                             Value      Code      Destructive
   	===========                             =====      ====      ===========
   	Allow masking                            On         6            Yes
   	Allow cloning                            On         7            Yes
   	Allow non-FIPS algorithms                On         12           Yes
   	SO can reset partition PIN               On         15           Yes
   	Allow network replication                On         16           No
   	Allow Remote Authentication              On         20           Yes
   	Force user PIN change after set/reset    Off        21           No
   	Allow offboard storage                   On         22           Yes
   	Allow Acceleration                       On         29           Yes
   
   	Command Result : 0 (Success)
   

   この出力は、ポリシー 12 (Allow non-FIPS algorithms) が On に設定されていることを示しています。これは、FIPS に準拠していないアルゴリズムが HSM での操作に許可されることを意味します。

3. 初期化 時に指定したパスワードを使用して、HSM SO/ 管理者としてログインします。

   	[jdoe1] lunash:>hsm login
   
   	Please enter the HSM Administrators' password:
   	> ********
   
   	'hsm login' successful.
   
   	Command Result : 0 (Success)
   

4. FIPS 140-2 モードを有効にします。

   FIPS モードを有効にするには、この手順のステップ 2 で確認したポリシー (Allow non-FIPS algorithms) を変更する必要があります。

   この手順により、HSM 内の既存の区画がすべて消去されます。 既に作成したパーティションとオブジェクトがある場合は、新規パーティションの作成時にそれらを再作成するために、パーティションの内容と構成を確認してください。

   ポリシー 12 を無効にして FIPS アルゴリズムの使用のみを許可するには、hsm changepolicy コマンドを使用します。

   	[jdoe1] lunash:>hsm changepolicy -policy 12 -value 0
   
   	CAUTION: Are you sure you wish to change the destructive policy named:
   
   	Allow non-FIPS algorithms
   
   	Changing this policy will result in erasing all partitions on the HSM! (HSM Admin, Domain, and M of N (where applicable) will not be modified.
   
   	Type 'proceed' to zeroize your HSM and change the policy, or 'quit' to quit now.
   
   	> proceed
   
   	'hsm changePolicy' successful.
   
   	Policy Allow non-FIPS algorithms is now set to value: 0
   
   	Command Result : 0 (Success)
   

5. コマンド hsm show を使用して、FIPS モードが再び有効になったことを確認します。

   	[jdoe1] lunash:>hsm show
   
   	Appliance Details:
   	==================
   
   	Software Version:                6.2.2-5
   
   	HSM Details:
   	============
   
   	HSM Label:                          jpmonge
   	Serial #:                           534071
   	Firmware:                           6.10.9
   	HSM Model:                          K6 Base
   	Authentication Method:              Password
   	HSM Admin login status:             Not Logged In
   	HSM Admin login attempts left:      3 before HSM zeroization!
   	RPV Initialized:                    No
   	Audit Role Initialized:             No
   	Remote Login Initialized:           No
   	Manually Zeroized:                  No
   
   	Partitions created on HSM:
   	==============================
   	Partition:            534071009, Name: partition1
   	Number of partitions allowed:        10
   	Number of partitions created:        1
   
   	FIPS 140-2 Operation:
   	=====================
   	The HSM is in FIPS 140-2 approved operation mode.
   
   	HSM Storage Information:
   	========================
   	Maximum HSM Storage Space (Bytes):   2097152
   	Space In Use (Bytes):                209715
   	Free Space Left (Bytes):             1887437
   
   	Command Result : 0 (Success)
   

   コマンド hsm showpolicies は、デバイスがポリシー (コード) 12 で FIPS 140-2 モードを使用しており、FIPS 140-2 アルゴリズムの適用を反映していることを示しています。

   	[jdoe1] lunash:>hsm showpolicies
   
   	HSM Label:   jpmonge
   	Serial #:    534071
   	Firmware:    6.10.9
   
   	[OUTPUT OMITTED]
   
   	The following policies are set due to current 	configuration of this HSM and cannot be altered directly by the user.
   
   	Description                              Value
   	===========                              =====
   	PIN-based authentication                 True
   
   	The following policies describe the current configuration of this HSM and may be changed by the HSM Administrator. Changing policies marked "destructive" will zeroize (erase completely) the entire HSM.
   
   	Description                             Value        Code      Destructive
   	===========                             =====        ====      ===========
   
   	Allow masking                            On           6         Yes
   	Allow cloning                            On           7         Yes
   	Allow non-FIPS algorithms                Off          12        Yes
   	SO can reset partition PIN               On           15        Yes
   	Allow network replication                On           16        No
   	Allow Remote Authentication              On           20        Yes
   	Force user PIN change after set/reset    Off          21        No
   	Allow offboard storage                   On           22        Yes
   	Allow Acceleration                       On           29        Yes
   
   	Command Result : 0 (Success)