7.8. FIPS モードが有効なシステムでの IPsec の使用

Federal Information Processing Standards (FIPS) モードの RHEL は、検証済みの暗号化モジュールのみを使用し、レガシーのプロトコルと暗号を自動的に無効にします。FIPS モードの有効化は、多くの場合、連邦政府のコンプライアンス要件として求められ、有効にすることでシステムのセキュリティーが強化されます。

RHEL が提供する Libreswan の IPsec 実装は、完全に FIPS に準拠しています。システムが FIPS モードの場合、Libreswan は追加の設定を必要とせずに、認定済みの暗号化モジュールを自動的に使用します。これは、新しい FIPS 対応システムに Libreswan をインストールする場合でも、既存の Libreswan VPN があるシステムで FIPS モードを有効にする場合でも同様です。

FIPS モードが有効な場合は、Libreswan が FIPS モードで実行されていることを確認できます。

# ipsec whack --fipsstatus
000 FIPS mode enabled

FIPS モードの Libreswan で許可されているアルゴリズムと暗号をリスト表示するには、次のように入力します。

# ipsec pluto --selftest 2>&1
...
000 FIPS Encryption algorithms:
000   AES_CCM_16  {256,192,*128} IKEv1:  ESP  IKEv2:  ESP  FIPS   aes_ccm, aes_ccm_c
000   AES_CCM_12  {256,192,*128} IKEv1:  ESP  IKEv2:  ESP  FIPS   aes_ccm_b
000   AES_CCM_8   {256,192,*128} IKEv1:  ESP  IKEv2:  ESP  FIPS   aes_ccm_a
000 ...