2.3. 시스템을 FIPS 모드로 전환
시스템 전체 암호화 정책에는 FIPS(Federal Information Processing Standard) 발행 140의 요구 사항에 따라 암호화 알고리즘을 활성화하는 정책 수준이 포함되어 있습니다. FIPS 모드를 활성화하거나 비활성화하는 fips-mode-setup
툴은 FIPS
시스템 전체 암호화 정책을 내부적으로 사용합니다.
FIPS 시스템 전체 암호화 정책을 사용하여 시스템을 FIPS
모드로 전환해도 FIPS 140 표준을 준수하는 것은 아닙니다. 시스템을 FIPS 모드로 설정한 후 모든 암호화 키를 다시 생성할 수 없을 수 있습니다. 예를 들어 사용자의 암호화 키가 있는 기존 IdM 영역의 경우 모든 키를 다시 생성할 수 없습니다.
RHEL 설치 중에 FIPS 모드를 활성화하면 시스템이 FIPS 승인 알고리즘 및 지속적인 모니터링 테스트를 사용하여 모든 키를 생성합니다.
fips-mode-setup
툴은 내부적으로 FIPS
정책을 사용합니다. 그러나 --set FIPS
옵션을 사용하는 update-crypto-policies
명령에서 fips-mode-setup
을 사용하면 fips-finish-install
도구를 사용하여 FIPS dracut 모듈을 설치할 수 있습니다. 또한 fips=1
부팅 옵션도 커널 명령줄에 다시 생성되고 초기 RAM 디스크를 다시 생성합니다.
FIPS 모드 설정을 완료한 후에는 시스템을 일관되지 않은 상태로 전환하지 않고 FIPS 모드를 전환할 수 없습니다. 시나리오에 이러한 변경이 필요한 경우 유일한 올바른 방법은 시스템을 완전히 다시 설치하는 것입니다.
RHEL 9의 암호화 모듈은 FIPS 140-3 요구 사항에 대해 아직 인증되지 않았습니다.
절차
시스템을 FIPS 모드로 전환하려면 다음을 수행합니다.
# fips-mode-setup --enable Kernel initramdisks are being regenerated. This might take some time. Setting system policy to FIPS Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place. FIPS mode will be enabled. Please reboot the system for the setting to take effect.
커널이 FIPS 모드로 전환되도록 시스템을 다시 시작하십시오.
# reboot
검증
재시작 후 FIPS 모드의 현재 상태를 확인할 수 있습니다.
# fips-mode-setup --check FIPS mode is enabled.
추가 리소스
-
시스템의 FIPS-mode-setup(8)
도움말 페이지 - NIST(National Institute of Standards and Technology) 웹 사이트의 암호화 모듈에 대한 보안 요구 사항.