Red Hat Summit第3章 Red Hat build of OpenJDK 21 における FIPS 自動化
この章では、Red Hat build of OpenJDK 21 で FIPS 自動化がどのように実装されているか、また FIPS 自動化がアプリケーションにどのような影響を与えるかを説明します。
3.1. セキュリティープロバイダー
FIPS モードが有効になっている場合、Red Hat build of OpenJDK 21 は、インストールされているセキュリティープロバイダーを制約リストに置き換えます。FIPS 認定モジュールのみが暗号化操作を実行するように、一部のセキュリティーサービスとアルゴリズムが削除される場合があります。次のリストは、インストールされているセキュリティープロバイダー、サービス、アルゴリズム、および有効な設定を示しています。
- SunPKCS11-NSS-FIPS
$JRE_HOME/conf/security/nss.fips.cfgにある設定に従って、サービスプロバイダーのPKCS#11バックエンドである NSS ソフトウェアトークンで初期化されます。-
name = NSS-FIPS -
nssLibraryDirectory = /usr/lib64 -
nssSecmodDirectory = ${fips.nssdb.path} -
nssDbMode = readWrite -
nssModule = fips -
attributes(*,CKO_SECRET_KEY,CKK_GENERIC_SECRET)={ CKA_SIGN=true }
注記この設定を変更することは推奨されません。
すべての暗号化サービスが有効になっています。これらには、
AlgorithmParameters、Cipher、KeyAgreement、KeyFactory、KeyGenerator、KeyPairGenerator、KeyStore、Mac、MessageDigest、SecretKeyFactory、SecureRandom、Signatureが含まれます。-
- SUN
-
X.509 証明書関連 (
CertificateFactory、CertPathBuilder、CertPathValidator、CertStore)、AlgorithmParameterGenerator、AlgorithmParameters、およびKeyStore(JKS、PKCS12) サービスのみが有効になっています。 - SunEC
-
AlgorithmParametersおよびKeyFactoryサービスのみが有効化されます。 - SunJSSE
-
TLS 関連サービス (
KeyManagerFactory、SSLContext、TrustManagerFactory) とKeyStore(PKCS12) のみが有効になります。 - SunJCE
-
AlgorithmParameterGenerator、AlgorithmParameters、KeyFactory、およびSecretKeyFactory(BKDF2アルゴリズムを除く) サービスのみが有効になっています。 - SunRsaSign
-
AlgorithmParametersおよびKeyFactoryサービスのみが有効化されます。 - XMLDSig
-
すべてのサービスが有効化されています。これらには、
TransformService、KeyInfoFactory、XMLSignatureFactoryが含まれます。
