FIPS に準拠するよう dotTEST を設定できます。
このセクションの内容
前提条件
https://www.bouncycastle.org/fips-java/ から以下の BouncyCastle FIPS ライブラリをダウンロードする必要があります。
- bc-fips-<VERSION>.jar (バージョン 1.0.2.4 でテスト済み)
- bctls-fips-<VERSION>.jar (バージョン 1.0.17 でテスト済み)
dotTEST での FIPS モードの設定
bc-fips-<VERSION>.jar および bctls-fips-<VERSION>.jar を
<DOTTEST_INSTALL_DIR>/bin/dottest/java/jarsディレクトリにコピーします。<DOTTEST_INSTALL_DIR>/bin/dottest/Jre_x64/conf/security/ディレクトリにある java.security ファイルを開いて以下の変更を行います。security.provider.<number>という名前の既存のプロパティをすべてコメント アウトし、以下の行を挿入することでセキュリティ プロバイダーのリストを設定します。security.provider.<number>. and inserting the following lines: security.provider.1=org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider security.provider.2=org.bouncycastle.jsse.provider.BouncyCastleJsseProvider fips:BCFIPS security.provider.3=SUN
javax.net.ssl package のキー マネージャー ファクトリおよびトラスト マネージャー ファクトリのアルゴリズムを PKIX に変更します。
ssl.KeyManagerFactory.algorithm=PKIX ssl.TrustManagerFactory.algorithm=PKIX
デフォルトのキーストア タイプを fips に変更し、JKS および PKCS12 キーストア タイプの互換モードを無効にします。
keystore.type=fips keystore.type.compat=false
(Linux の場合のみ) 既知の強力な SecureRandom 実装のリストに NativePRNGNonBlocking アルゴリズムを追加します。
securerandom.strongAlgorithms=NativePRNGNonBlocking:SUN,NativePRNGBlocking:SUN,DRBG:SUN
FIPS 認証済みのアルゴリズムだけを許可します。
org.bouncycastle.fips.approved_only=true
- 変更を保存します。
<DOTディレクトリにある java.policy ファイルを開き、デフォルト ドメインに次のパーミッションを挿入します。TEST_INSTALL_DIR>/bin/dottest/Jre_x64/conf/security/permission java.lang.RuntimePermission "accessClassInPackage.sun.security.internal.spec"; permission org.bouncycastle.crypto.CryptoServicesPermission "tlsAlgorithmsEnabled";
- 変更を保存します。
<DOTTEST_INSTALL_DIR>/bin/dottest/Jre_x64/conf/ディレクトリにある logging.properties ファイルを開き、Bouncy Castle のロガー設定を挿入します。org.bouncycastle.jsse.provider.DisabledAlgorithmConstraints.level=SEVERE org.bouncycastle.jsse.provider.PropertyUtils.level=SEVERE
変更を保存します。
