FIPS-2 準拠
データベース暗号化の FIPS 140–2 準拠
特定のプラットフォームでは、InterSystems IRIS® データ・プラットフォームは FIPS 140–2 に準拠したデータベース暗号化をサポートします(FIPS 140–2 は Federal Information Processing Standard Publication 140-2 を指します。詳細は、http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfOpens in a new tab で確認できます)。
このバージョンの InterSystems IRIS は、x86-64 対応の Red Hat Enterprise Linux 8 で、FIPS 140-2 に準拠したデータベース暗号化をサポートしています。Red Hat は、OpenSSL libcrypto.so ライブラリおよび libssl.so ライブラリの検証証明書を保有しています。FIPS モードでの実行時には、InterSystems IRIS はこれらの証明書ライブラリを使用します。Red Hat Linux のマイナー・バージョンに最新の証明書があるかどうかを確認するには、Red Hat のドキュメントOpens in a new tabを参照してください。
FIPS モードが有効な場合の動作:
-
Red Hat 8 では TLSv1.2 と TLSv1.3 のみがサポートされます。
政府規格に対する Red Hat のサポートについては、https://access.redhat.com/articles/2918071Opens in a new tab を参照してください。
InterSystems IRIS では、現在 Red Hat 9 での FIPS モードはサポートしていません。
FIPS サポートの有効化
InterSystems IRIS で、FIPS 140–2 に準拠したデータベース暗号化のサポートを有効にするには、以下を実行します。
-
Red Hat リポジトリから openssl パッケージ (rhel-8-server-rpms) をダウンロードしてインストールします。
-
オペレーティング・システムの FIPS モードを有効にします。手順については、Red Hat の Web サイトの記事 "RHEL 6/7/8 を FIPS 140-2 準拠に設定するにはどうすればよいですか?Opens in a new tab" を参照してください(この記事にアクセスするには、Red Hat のログイン資格情報が必要です)。
-
ディレクトリ /usr/lib64 で、以下のシンボリック・リンクを確認します。シンボリック・リンクが存在しない場合、作成します。
-
シンボリック・リンク libssl.so.1.1 は、同じディレクトリ内の適切なファイル (libssl.so.1.1.1g ファイルなど) を指している必要があります。
-
シンボリック・リンク libcrypto.so.1.1 は、同じディレクトリ内の適切なファイル (libcrypto.so.1.1.1g ファイルなど) を指している必要があります。
-
-
InterSystems IRIS で、FIPSMode CPF パラメータに True (1) を指定します。そのためには、以下の操作を実行します。
-
管理ポータルを開きます。
-
[システム管理]→[構成]→[追加設定]→[開始] を選択します。
FIPSMode の行が表示されます。
-
FIPSMode の値を True に指定して、変更内容を保存します。
-
-
InterSystems IRIS を再起動します。
-
"暗号化データベースの使用法" で説明されているように、暗号化データベースを有効化して構成します。
開始動作と messages.log
InterSystems IRIS の開始時 :
-
FIPSMode が 0 の場合、InterSystems IRIS ネイティブの暗号化が使用されます。Intel AES-NI ハードウェア命令を使用する、最適化されたアセンブリー・コードなどです (CPU がサポートする場合)。このモードでは、InterSystems IRIS は開始時、messages.log に以下を書き込みます。
FIPS 140-2 compliant cryptography for database encryption is not configured in iris.cpf
-
FIPSMode が 1 の場合、InterSystems IRIS は /usr/lib64/libcrypto.so FIPS 検証済みライブラリ内の関数への参照を解決しようとします。その後、FIPS モードでライブラリを初期化しようとします。これらの手順が成功すると、InterSystems IRIS は messages.log に以下を書き込みます。
FIPS 140-2 compliant cryptography for database encryption is enabled for this instance.
-
FIPSMode が 1 で、ライブラリの初期化が失敗した場合、InterSystems IRIS は開始されません。この場合、messages.log には以下のメッセージが書き込まれます。
FIPS 140-2 compliant cryptography for database encryption initialization failed. Aborting.
-
lnxrhx64 以外のプラットフォームでは、FIPSMode が 1 の場合、InterSystems IRIS ネイティブの暗号化が使用され、InterSystems IRIS はmessages.log に以下を書き込みます。
FIPS 140-2 compliant cryptography for database encryption is not supported on this platform.