Caché データベース暗号化の FIPS 140–2 準拠
特定のプラットフォームでは、Caché は FIPS 140–2 に準拠したデータベース暗号化をサポートします。(FIPS 140–2 は Federal Information Processing Standard Publication 140-2 を指し、http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfOpens in a new tab を参照)
サポート対象プラットフォーム
Caché は、x86-64 対応の Red Hat Enterprise Linux 6.6 (またはそれ以降のマイナー・バージョン) および Red Hat Enterprise Linux 7.1 (またはそれ以降のマイナー・バージョン) で、FIPS 140–2 に準拠したデータベース暗号化をサポートしています。サポートされている各バージョンについて、Red Hat は OpenSSL libcrypto.so および libssl.so ライブラリの認定書を保有しています。この認定書は、下記のサイトで入手できます。
-
ライブラリ:libcrypto.so.1.0.1e および libssl.so.1.0.1e
-
ライブラリ:libcrypto.so.1.0.2k および libssl.so.1.0.2k
政府規格の Red Hat のサポートについては、https://www.redhat.com/en/technologies/industries/government/standardsOpens in a new tab を参照してください。
FIPS サポートの有効化
Caché で、FIPS 140–2 に準拠したデータベース暗号化のサポートを有効にするには、以下を実行します。
-
RedHat リポジトリから、openssl パッケージをダウンロードしてインストールします (rhel-6-server-rpms または rhel-7-server-rpms のどちらか。どのバージョンの Red Hat Enterprise Linux for x86-64 を使用しているかによって決まります)。
-
オペレーティング・システムの FIPS モードを有効にします。詳しくは、以下のいずれかを参照してください。
必ず、再起動して、FIPS モードが有効であることを確認してください。
-
ディレクトリ /usr/lib64 で、以下のシンボリック・リンクを確認します。シンボリック・リンクが存在しない場合、作成します。
-
シンボリック・リンク libssl.so は、同じディレクトリ内の適切なファイル (libssl.so.1.0.2k など) を指している必要があります。
-
シンボリック・リンク libcrypto.so は、同じディレクトリ内の適切なファイル (libcrypto.so.1.0.2k など) を指している必要があります。
-
-
Caché で、FIPSMode CPF パラメータに True (1) を指定します。そのためには、以下の操作を実行します。
-
管理ポータルを開きます。
-
[システム管理]→[構成]→[追加設定]→[開始] を選択します。
FIPSMode の行が表示されます。
-
FIPSMode の値を True に指定して、変更内容を保存します。
-
-
Caché を再起動します。
-
暗号化データベースの有効化および構成の概要は、"Caché セキュリティ管理ガイド" の “マネージド・キー暗号化” の章にある “暗号化データベースの使用法” を参照してください。
開始動作と cconsole.log
Caché を開始すると、以下の処理が行われます。
-
FIPSMode が 0 の場合、Caché ネイティブの暗号化が使用されます。Intel AES-NI ハードウェア命令を使用する、最適化されたアセンブリー・コードなどです (CPU がサポートする場合)。このモードでは、Caché は開始時、cconsole.log に以下を書き込みます。
FIPS 140-2 compliant cryptography for database encryption is not configured in cache.cpf
-
FIPSMode が 1 の場合、Caché は /usr/lib64/libcrypto.so FIPS 検証済みライブラリ内の関数への参照を解決しようとします。その後、FIPS モードでライブラリを初期化しようとします。これらの手順が成功すると、Caché は cconsole.log に以下を書き込みます。
FIPS 140-2 compliant cryptography for database encryption is enabled for this instance.
-
FIPSMode が 1 で、ライブラリの初期化が失敗した場合、Caché は開始されません。この場合、cconsole.log には以下のメッセージが書き込まれます。
FIPS 140-2 compliant cryptography for database encryption initialization failed. Aborting.
-
lnxrhx64 以外のプラットフォームでは、FIPSMode が 1 の場合、Caché ネイティブの暗号化が使用され、Caché はcconsole.log に以下を書き込みます。
FIPS 140-2 compliant cryptography for database encryption is not supported on this platform.