最近、米国政府機関のRMFに関する多くのA&Aタスクに取り組んでおり、IA-7によるNISTの制御を適切に理解するのに苦労していますSP 800- 53と補足ガイダンスおよび800-53Aは、私に必要な明確さを提供していません。参考までに、これはIA-7のコントロールの説明です。
情報システムは、該当する連邦法、行政命令、指令、ポリシー、規制、規格、およびそのような認証のガイダンスの要件を満たす暗号モジュールへの認証メカニズムを実装しています。
具体的には、「暗号化モジュールへの認証」に伴うものに頭を抱えるのに苦労しています。システム上のモジュールへの必要なアクセス権を単に持っているのではなく、モジュールをどのように認証しますか?少し背景として、私たちは主にopensslを利用しますが、urandomとpgcryptoも利用します。
私自身の危険でゾンビを起こし、このコントロールを理解しようとしている人々のために。私はこの問題についてかなりの量の調査を行い、かなり明確な答えを見つけることができました。短くはないので一緒にいてください、しかしそれはかなり決定的です。
私が理解しているように、認証メカニズムを提供する暗号制御モジュールの実装者である場合、またはシステムが認証を提供する暗号制御モジュールへのアクセスを提供している場合は、適用される法律の認証要件を満たす必要があります。 ..standards ... "etc.このリファレンスは、FIPS 140-2の要件を示しています。これは、FIPS 140と対話する人間のオペレーターを指します。 -2準拠の暗号制御モジュール。
4.3.3オペレーター認証モジュールにアクセスするオペレーターを認証し、オペレーターが要求された役割を引き受け、その役割内でサービスを実行する権限があることを確認するために、暗号化モジュール内で認証メカニズムが必要になる場合があります。セキュリティレベルに応じて、暗号化モジュールは、モジュールへのアクセスを制御する次のメカニズムの少なくとも1つをサポートします。
役割ベースの認証:役割ベースの認証メカニズムが暗号モジュールでサポートされている場合、モジュールは1つ以上の役割がオペレーターによって暗黙的または明示的に選択されることを要求し、選択された役割(または役割のセット)の想定を認証する必要があります。 )。暗号化モジュールは、オペレーターの個々のIDを認証する必要はありません。役割の選択と選択された役割の想定の認証を組み合わせることができます。暗号化モジュールがオペレーターに役割の変更を許可する場合、モジュールは以前に認証されなかった役割の想定を認証します。
アイデンティティーベースの認証:アイデンティティーベースの認証メカニズムが暗号化モジュールでサポートされている場合、モジュールはオペレーターを個別に識別し、1つ以上の役割をオペレーターが暗黙的または明示的に選択することを要求し、さらにオペレーターのIDおよび選択された役割(または一連の役割)を引き受けるオペレーターの許可。オペレーターのアイデンティティーの認証、役割の選択、および選択された役割の引き受けの承認を組み合わせることができます。暗号化モジュールがオペレーターに役割の変更を許可する場合、モジュールは識別されたオペレーターの許可を検証して、以前に許可されていなかった役割を引き受けるものとします。
...それがこのルールが話していることです。
この制御は、暗号化モジュールを管理する目的で暗号化モジュールに認証を提供する場合にのみ適用されます。他の場合には該当しないという証拠は、STIGで見つけることができます(ただし、簡単にはできません)...
https://www.stigviewer.com/stig/application_security_and_development/2018-09-13/finding/V-70159
詳細チェックテキスト(C-70635r1_chk)アプリケーションのドキュメントを確認し、アプリケーション管理者にインタビューします。
アプリケーションが暗号化モジュールへのアクセスを提供するかどうか、およびアプリケーション内に含まれる暗号化モジュールを管理するためにアクセスが必要かどうかを識別します。
アプリケーションが暗号化モジュールへの認証済みアクセスを提供しない場合、要件は適用されません。
暗号化モジュールを確認して識別します。すべてのFIPS承認済み暗号モジュールをリストしているNIST Webサイトを参照してください。
民間部門では珍しい使用例のようですが、DoDのような政府部門ではより一般的かもしれません。
「暗号化モジュール」は、暗号化、復号化、デジタル署名、認証技術、乱数生成などの暗号化機能を実装するハードウェア、ファームウェア、またはソフトウェアとして定義されます。ご覧のとおり、これはあいまいであり、言及しているテクノロジー以上のものを網羅しています。また、NISTに準拠するには、このカテゴリに該当するテクノロジーをFIPSで検証する必要があります。NISTには、暗号モジュールの検証プログラムがあり、次の場所にあります http://csrc.nist.gov/groups/ STM/cmvp/index.html そして、NISTで検証された暗号化モジュールのリストはこちら: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2017.htm