FIPS (Federal Information Processing Standards)는 미국 연방 정부가 정의한 정보 처리 표준으로, 보안 기술 및 암호 모듈의 최소 요구사항을 명확히 규정한 문서입니다. NCP HSM 은 FIPS 140-3 Level 3 인증받은 모듈을 제공합니다.
HSM 을 최초에 설정하면 allow non-FIPS algorithms 이 활성화 되어 있습니다. allow non-FIPS algorithms 을 비활성화하여 FIPS 모드로 사용할 수 있습니다.
참고
FIPS 모드 활성화 문서는 Thales 공식 문서를 기반으로 작성했습니다. 사용 가이드에서 안내하는 내용 외에 더 많은 내용을 살펴보려면 Luna HSM FIPS를 참조해 주십시오.
지원 환경
HSM 클라이언트와 Nginx를 연동하기 위한 환경은 다음과 같습니다.
전제 조건
FIPS 모드를 활성화 하기 전에 다음의 전제 조건을 준수해 주십시오.
- HSM 파티션의 초기설정 모두 완료
FIPS 활성화
FIPS 모드를 활성화하는 방법은 다음과 같습니다.
-
파티션 정책 확인
$ ./lunacm $ lunacm:>partition showpolicies Partition Capabilities 0: Enable private key cloning : 1 1: Enable private key wrapping : 1 ...(중략) 43: Allow non-FIPS algorithms : 1 44: Allow Extended Domain Management : 0 Command Result : No Error43: Allow non-FIPS algorithms정책을 ON -> OFF 로 설정을 변경해야 합니다. -
파티션 정책 수정
po로그인lunacm:>role login -n po enter password: ******** Command Result : No Error- 정책 수정
lunacm:>partition changePolicy -slot 0 -polic 43 -value 0 Command Result : No Error
주의
파티션 43 번 정책을 OFF -> ON 하는 변경은 파티션 내 모든 내용을 삭제합니다. 자세한 내용은 공식 가이드 를 참조해 주십시오.
- 파티션 정책 확인
$ lunacm:>partition showpolicies Partition Capabilities 0: Enable private key cloning : 1 1: Enable private key wrapping : 1 ...(중략) 43: Allow non-FIPS algorithms : 0 44: Allow Extended Domain Management : 0 Command Result : No Error
non-FIPS algorithms을 사용할 수 없게 되었으며 FIPS 모드가 활성화되었습니다.