2.3. FIPS モードへのシステムの切り替え
システム全体の暗号化ポリシーには、連邦情報処理標準 (FIPS) Publication 140 の要件に従って暗号化アルゴリズムを有効にするポリシーレベルが含まれています。FIPS モードを有効または無効にする fips-mode-setup
ツールは、内部的に FIPS
のシステム全体の暗号化ポリシーを使用します。
FIPS
システム全体の暗号化ポリシーを使用してシステムを FIPS モードに切り替えても、FIPS 140 標準への準拠は保証されません。システムを FIPS モードに設定した後にすべての暗号キーを再生成することは、可能でない場合があります。たとえば、ユーザーの暗号キーを含む既存の IdM レルムの場合、すべてのキーを再生成することはできません。
RHEL のインストール中に FIPS モード を有効にするだけで、システムは FIPS で承認されるアルゴリズムと継続的な監視テストですべてのキーを生成するようになります。
fips-mode-setup
ツールは、FIPS
ポリシーを内部的に使用します。ただし、--set FIPS
オプションを指定した update-crypto-policies
コマンドが実行する内容に加え、fips-mode-setup
は、fips-finish-install
ツールを使用して FIPS dracut モジュールを確実にインストールします。また、fips=1
ブートオプションをカーネルコマンドラインに追加し、初期 RAM ディスクを再生成します。
FIPS モードのセットアップを完了した後、FIPS モードをオフにすると、システムが必ず不整合な状態になります。このような変更が必要な場合、システムを完全に再インストールするのが唯一の正しい方法です。
RHEL 9 の暗号化モジュールは、FIPS 140-3 の要件に対して認定されていません。
手順
システムを FIPS モードに切り替えるには、以下のコマンドを実行します。
# fips-mode-setup --enable Kernel initramdisks are being regenerated. This might take some time. Setting system policy to FIPS Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place. FIPS mode will be enabled. Please reboot the system for the setting to take effect.
システムを再起動して、カーネルを FIPS モードに切り替えます。
# reboot
検証
システムが再起動したら、FIPS モードの現在の状態を確認できます。
# fips-mode-setup --check FIPS mode is enabled.
関連情報
-
システム上の
fips-mode-setup(8)
man ページ - NIST (National Institute of Standards and Technology)の Web サイトの Security Requirements for Cryptographic Modules。