Red Hat Summit4.9.2. IBM JDK における FIPS 140-2 準拠暗号化
IBM JDK では、マルチプラットフォームの IBM® JCE(Java™ Cryptographic Extension)IBMJCEFIPS プロバイダーおよび IBM JSSE(Java Secure Sockets Extension)FIPS 140-2 Cryptographic Module(IBMJSSEFIPS)は、FIPS 140-2 準拠の暗号を提供します。
IBMJCEFIPS プロバイダーの詳細は、IBM JCEFIPS の IBM ドキュメント および NIST IBMJCEFIPS - セキュリティーポリシー を参照してください。
キーストレージ
IBM JCE はキーストアを提供しないことに注意してください。このキーはコンピューターに保存され、その物理境界は残しません。このキーがコンピューター間で移動している場合は暗号化する必要があります。
FIPS 準拠のモードで keytool を実行するには、以下のような各コマンドで -providerClass オプションを使用します。
keytool -list -storetype JCEKS -keystore mystore.jck -storepass mystorepass -providerClass com.ibm.crypto.fips.provider.IBMJCEFIPS
FIPS プロバイダー情報の確認
サーバーが使用する IBMJCEFIPS に関する情報を確認するには、
-Djavax.net.debug=true を standalone.conf または domain.conf に追加してデバッグレベルのロギングを有効にします。FIPS プロバイダーに関する情報は server.log に記録されます。以下に例を示します。
04:22:45,685 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using MessageDigest SHA from provider IBMJCEFIPS version 1.7 04:22:45,689 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyPairGenerator from provider from init IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using KeyFactory DiffieHellman from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using KeyAgreement DiffieHellman from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyAgreement from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyAgreement from provider from initIBMJCEFIPS version 1.7
