4.9.2. IBM JDK での FIPS 140-2 準拠の暗号
IBM JDK では、IBM® JCE (Java™ Cryptographic Extension) IBMJCEFIPS プロバイダーおよびマルチプラットフォーム用 IBM JSSE (Java Secure Sockets Extension) FIPS 140-2 Cryptographic Module (IBMJSSEFIPS) が FIPS 140-2 に準拠する暗号化を提供します。
IBMJCEFIPS の詳細は IBM JCEFIPS に関する IBM のドキュメントと、NIST IBMJCEFIPS – Security Policy を参照してください。
鍵の格納
IBM JCE はキーストアを提供しないことに注意してください。鍵はコンピューターに格納され、その物理的境界を残しません。コンピューターの間で鍵を移動する場合は、鍵を暗号化する必要があります。
FIPS 準拠モードで
keytool
を実行するには、以下のように各コマンドで -providerClass
オプションを使用します。
keytool -list -storetype JCEKS -keystore mystore.jck -storepass mystorepass -providerClass com.ibm.crypto.fips.provider.IBMJCEFIPS
FIPS プロバイダー情報の確認
サーバーによって使用される IBMJCEFIPS に関する情報を確認するには、
standalone.conf
または domain.conf
に -Djavax.net.debug=true
を追加して、debug レベルのロギングを有効にします。FIPS プロバイダーの情報は server.log
に記録されます。例を以下に示します。
04:22:45,685 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using MessageDigest SHA from provider IBMJCEFIPS version 1.7 04:22:45,689 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyPairGenerator from provider from init IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using KeyFactory DiffieHellman from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using KeyAgreement DiffieHellman from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyAgreement from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyAgreement from provider from initIBMJCEFIPS version 1.7