第 3 章 Red Hat build of OpenJDK 21 中的 FIPS 自动化
本章论述了如何在红帽构建的 OpenJDK 21 中实施 FIPS 自动化,以及 FIPS 自动化如何影响您的应用程序。
3.1. 安全供应商
启用 FIPS 模式后,红帽构建的 OpenJDK 21 将安装的安全供应商替换为受限列表。有些安全服务和算法可能会被丢弃,以便只有 FIPS 认证模块执行加密操作。以下列表描述了已安装的安全供应商、服务、算法和启用的配置:
- SunPKCS11-NSS-FIPS
根据
$JRE_HOME/conf/security/nss.fips.cfg处找到的配置,使用 NSS 软件令牌初始化的 NSS 软件令牌(这是服务提供商的PKCSBACKEND 后端):-
name = NSS-FIPS -
nssLibraryDirectory = /usr/lib64 -
nssSecmodDirectory = ${fips.nssdb.path} -
nssDbMode = readWrite -
nssModule = fips -
attributes (*,CKO_SECRET_KEY,CKK_GENERIC_SECRET)={ CKA_SIGN=true }
注意不鼓励更改此配置。
所有加密服务都已启用。这包括
AlgorithmParameters,Cipher,KeyAgreement,KeyFactory,KeyGenerator,KeyPairGenerator,KeyStore,Mac,MessageDigest,SecretKeyFactory,SecureRandom, 和Signature。-
- SUN
-
仅与 X.509 证书相关(
CertificateFactory,CertPathBuilder,CertPathValidator,CertStore),AlgorithmParameterGenerator,AlgorithmParameters, 和KeyStore(JKS,PKCS12)服务被启用。 - SunEC
-
仅启用
AlgorithmParameters和KeyFactory服务。 - SunJSSE
-
仅启用与 TLS 相关的服务(
KeyManagerFactory,SSLContext,TrustManagerFactory)和KeyStore(PKCS12)。 - SunJCE
-
仅启用
AlgorithmParameterGenerator、AlgorithmParameters、KeyFactory和SecretKeyFactory(除BKDF2算法外)服务。 - SunRsaSign
-
仅启用
AlgorithmParameters和KeyFactory服务。 - XMLDSig
-
所有服务都已启用。这包括
TransformService、KeyInfoFactory和XMLSignatureFactory。
