Caché データベース暗号化の FIPS 140–2 準拠

特定のプラットフォームでは、Caché は FIPS 140–2 に準拠したデータベース暗号化をサポートします。(FIPS 140–2 は Federal Information Processing Standard Publication 140-2 を指し、http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfOpens in a new tab を参照)

サポート対象プラットフォーム

Caché は、x86-64 対応の Red Hat Enterprise Linux 6.6 (またはそれ以降のマイナー・バージョン) および Red Hat Enterprise Linux 7.1 (またはそれ以降のマイナー・バージョン) で、FIPS 140–2 に準拠したデータベース暗号化をサポートしています。サポートされている各バージョンについて、Red Hat は OpenSSL libcrypto.so および libssl.so ライブラリの認定書を保有しています。この認定書は、下記のサイトで入手できます。

Red Hat 6.6、7.1、7.2、および 7.3

ライブラリ：libcrypto.so.1.0.1e および libssl.so.1.0.1e
認定書：https://csrc.nist.gov/projects/cryptographic-module-validation-program/Certificate/2441Opens in a new tab

Red Hat 7.4 以降

ライブラリ：libcrypto.so.1.0.2k および libssl.so.1.0.2k
認定書：https://csrc.nist.gov/projects/cryptographic-module-validation-program/Certificate/3016Opens in a new tab

政府規格の Red Hat のサポートについては、https://www.redhat.com/en/technologies/industries/government/standardsOpens in a new tab を参照してください。

FIPS サポートの有効化

Caché で、FIPS 140–2 に準拠したデータベース暗号化のサポートを有効にするには、以下を実行します。

RedHat リポジトリから、openssl パッケージをダウンロードしてインストールします (rhel-6-server-rpms または rhel-7-server-rpms のどちらか。どのバージョンの Red Hat Enterprise Linux for x86-64 を使用しているかによって決まります)。
オペレーティング・システムの FIPS モードを有効にします。詳しくは、以下のいずれかを参照してください。
- https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Federal_Standards_And_Regulations-Federal_Information_Processing_Standard.htmlOpens in a new tab
- https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-Federal_Standards_and_Regulations.htmlOpens in a new tab
必ず、再起動して、FIPS モードが有効であることを確認してください。
ディレクトリ /usr/lib64 で、以下のシンボリック・リンクを確認します。シンボリック・リンクが存在しない場合、作成します。
- シンボリック・リンク libssl.so は、同じディレクトリ内の適切なファイル (libssl.so.1.0.2k など) を指している必要があります。
- シンボリック・リンク libcrypto.so は、同じディレクトリ内の適切なファイル (libcrypto.so.1.0.2k など) を指している必要があります。
Caché で、FIPSMode CPF パラメータに True (1) を指定します。そのためには、以下の操作を実行します。
1. 管理ポータルを開きます。
2. [システム管理]→[構成]→[追加設定]→[開始] を選択します。
  FIPSMode の行が表示されます。
3. FIPSMode の値を True に指定して、変更内容を保存します。
Caché を再起動します。
暗号化データベースの有効化および構成の概要は、"Caché セキュリティ管理ガイド" の “マネージド・キー暗号化” の章にある “暗号化データベースの使用法” を参照してください。

開始動作と cconsole.log

Caché を開始すると、以下の処理が行われます。

FIPSMode が 0 の場合、Caché ネイティブの暗号化が使用されます。Intel AES-NI ハードウェア命令を使用する、最適化されたアセンブリー・コードなどです (CPU がサポートする場合)。このモードでは、Caché は開始時、cconsole.log に以下を書き込みます。
```
FIPS 140-2 compliant cryptography for database encryption is not configured in cache.cpf
```
FIPSMode が 1 の場合、Caché は /usr/lib64/libcrypto.so FIPS 検証済みライブラリ内の関数への参照を解決しようとします。その後、FIPS モードでライブラリを初期化しようとします。これらの手順が成功すると、Caché は cconsole.log に以下を書き込みます。
```
FIPS 140-2 compliant cryptography for database encryption is enabled for this instance.
```
FIPSMode が 1 で、ライブラリの初期化が失敗した場合、Caché は開始されません。この場合、cconsole.log には以下のメッセージが書き込まれます。
```
FIPS 140-2 compliant cryptography for database encryption initialization failed. Aborting.
```
lnxrhx64 以外のプラットフォームでは、FIPSMode が 1 の場合、Caché ネイティブの暗号化が使用され、Caché はcconsole.log に以下を書き込みます。
```
FIPS 140-2 compliant cryptography for database encryption is not supported on this platform.
```