パスワードの保護
インスペクタおよびオペレータの権限レベルを持つユーザーは、コマンド ライン インターフェイス(CLI)を介して、構成ファイルに復号されたパスワードを表示できません。
セキュアなパスワードの暗号化
By default 21.0 よりも前の StarOS リリース では、デフォルトで、システムは MD5 ベースの暗号(オプション A)を使用してパスワードを暗号化します。これらのパスワードには、パスワードにランダムな 64 ビット(8 バイト)のソルトが追加されています。シャーシキーは暗号キーとして使用されます。
シャーシキーを設定すると、暗号解読に「共有秘密」の知識が必要な暗号化方式がサポートされます。この共有秘密の知識を持つシャーシのみがパスワードにアクセスできます。パスワードを解読するために、シャーシキーを知っているハッカーは、暗号化内の 64 ビットのランダムなソルト値の場所を特定する必要があります。
MD-5 で暗号化されたパスワードには、暗号化に使用される方法を識別するために、構成ファイルに「+ A」プレフィックスが付いています。
重要 |
デフォルトは Algorithm B です。 |
別のタイプの暗号化アルゴリズムを指定します。グローバル構成モードの cli-encrypt-algorithm コマンドを使用すると、オペレータはパスワード暗号化と秘密暗号化のアルゴリズムを設定できます。デフォルトの暗号化とパスワードのアルゴリズムは、 21.0 よりも前のリリースでは 前述のように MD-5 です(オプション A)。2 番目のパスワード暗号化のアルゴリズム(オプション B)では、暗号化には AES-CTR-128、認証には HMAC-SHA1 が使用されます。暗号キーによってパスワードの機密性が保護され、認証キーによって整合性が保護されます。 リリース 21.0 以降では、アルゴリズム B がデフォルトです。 このキーで暗号化されたパスワードは、構成ファイルに「+ B」プレフィックスが付きます。
3 番目のタイプの暗号化アルゴリズムを指定できます(オプション C)。このアルゴリズムは、暗号化と認証に HMAC-SHA512 暗号アルゴリズムの使用を指定します。このキーで暗号化されたパスワードは、構成ファイルに「+ C」プレフィックスが付きます。
暗号キーはシャーシ ID と内部の乱数生成器から取得した 16 バイトの初期化ベクトル(IV)からハッシュされます。同じ暗号キーと IV のペアを使用して 2 つのパスワードが暗号化されることはありませんシャーシ ID と結果の暗号キーを生成するために、 セキュリティ管理者はシャーシキーを設定する必要があります。ローカル MAC アドレスに基づくデフォルトのシャーシキーはサポートされなくなりました。
The syntax for the cli-encrypt-algorithm コマンドのシンタックスは 次のとおりです。
config
cli-encrypt-algorithm { A | B | C }
最新ではない暗号化および復号化のサポート
システムは、以前にフォーマットされた暗号化パスワードをサポートしています。暗号化されたパスワードのシンタックスは、暗号化に使用された方式を示しています。暗号化されたパスワードの前にプレフィックスが表示されない場合は、固定キーを使用した以前の暗号化方式が使用されます。暗号化されたパスワードに「+A」プレフィックスが含まれている場合、復号化方式はシャーシキーとランダムなソルトを使用します。
ユーザーが新しい設定を保存すると、生成されたファイルには常に最新の方式で暗号化されたパスワードが含まれます。ユーザーは、以前の DES ベースの暗号化値を生成できません。ただし、将来のすべての StarOS リリースでは、引き続き双方向で暗号化可能なすべてのパスワードのプレーンテキスト パスワード エントリをサポートします。
-
前のシャーシキーを使用して、最後の正常な設定の設定ファイルをロードします。
-
必要な新しい値にシャーシキーを変更します。
-
この新しいシャーシキーを使用して設定を保存します。
次の情報を参照してください。 シャーシキーの設定 in システム設定 を参照してください。