FIPS 모드 활성화

VPC 환경에서 이용 가능합니다.

FIPS(Federal Information Processing Standards)는 미국 연방 정부가 정의한 정보 처리 표준으로, 보안 기술 및 암호 모듈의 최소 요구사항을 명확히 규정한 문서입니다. 네이버 클라우드 플랫폼의 Hardware Security Module 서비스에서는 FIPS 140-3 Level 3 인증을 받은 모듈을 제공하고 있습니다.
HSM 최초 설정 시 allow non-FIPS algorithms이 활성화되어 있습니다. allow non-FIPS algorithms을 비활성화하여 FIPS 모드로 사용이 가능합니다.

참고

FIPS 모드 활성화 문서는 Thales 공식 문서를 기반으로 작성했습니다. 사용 가이드에서 안내하는 내용 외에 더 많은 내용을 확인하려면 Luna HSM FIPS를 참조해 주십시오.

지원 환경

HSM 클라이언트와 Nginx를 연동하기 위한 환경은 다음과 같습니다.

전제 조건

FIPS 모드를 활성화 하기 전, 다음의 전제 조건을 준수해 주십시오.

HSM 파티션의 초기 설정 모두 완료

FIPS 활성화

FIPS 활성화 방법은 다음과 같습니다.

파티션 정책 확인을 확인해 주십시오.

$ ./lunacm

$ lunacm:>partition showpolicies
    Partition Capabilities
         0: Enable private key cloning : 1
         1: Enable private key wrapping : 1
        ...(중략)
        43: Allow non-FIPS algorithms : 1
        44: Allow Extended Domain Management : 0

Command Result : No Error

43: Allow non-FIPS algorithms 정책을 ON -> OFF 로 설정을 변경해야 합니다.

파티션 정책을 수정해 주십시오.

po 로그인

lunacm:>role login -n po
    enter password: ********
Command Result : No Error

정책 수정
```
lunacm:>partition changePolicy -slot 0 -polic 43 -value 0
Command Result : No Error
```
Plain text
주의

파티션 43번 정책을 OFF에서 ON으로 변경 시 파티션 내 모든 내용이 삭제되므로 반드시 주의하여 진행해야 합니다. 자세한 내용은 공식 가이드를 참조해 주십시오.

수정된 파티션 정책을 확인해 주십시오.

$ lunacm:>partition showpolicies
    Partition Capabilities
         0: Enable private key cloning : 1
         1: Enable private key wrapping : 1
        ...(중략)
        43: Allow non-FIPS algorithms : 0
        44: Allow Extended Domain Management : 0

Command Result : No Error

non-FIPS algorithms을 사용할 수 없게 되었으며, FIPS 모드가 활성화되었습니다.