FIPS अनुपालन और TLS कॉन्फ़िगरेशन Cato नेटवर्क्स पर

यह FIPS अनुपालन और TLS संस्करणों तथा सिफर सूट्स का अनौपचारिक ड्राफ्ट है।

अवलोकन

यह लेख बताता है कि कैसे Cato Networks संघीय सूचना प्रसंस्करण मानकों (FIPS) अनुपालन से संबंधित है। यह यह भी चर्चा करता है कि TLS निरीक्षण नीति सुविधा में TLS संस्करण और सिफर सूट संगतता स्तर को कस्टमाइज़ करना FIPS 140-2 और 140-3 एन्क्रिप्शन आवश्यकताओं से कैसे संबंधित है।

संदर्भ के लिए, Mozilla सर्वर साइड TLS विकी देखें, जो संगतता स्तर (आधुनिक, मध्यवर्ती, और विरासती) और उनके जुड़े हुए सिफर कॉन्फ़िगरेशन प्रदान करता है।

TLS निरीक्षण नीति में TLS संस्करणों और सिफर्स का प्रवर्तन

Cato Networks FIPS-संगत नहीं है। हालांकि, आप FIPS दिशानिर्देशों के साथ अधिक सुसंगत होने के लिए विशिष्ट TLS संस्करणों और सिफर सूट की संगतता स्तर को लागू करने के लिए TLS निरीक्षण नीति का उपयोग कर सकते हैं। अधिक जानकारी के लिए, देखें खाते के लिए TLS निरीक्षण नीति कॉन्फ़िगर करना।

अपने खाते में विशिष्ट TLS संस्करणों और संगतता स्तरों को लागू करने के लिए, TLS निरीक्षण नीति को TLS संस्करण और सिफर सूट्स विकल्पों का उपयोग करके नियम क्रिया के लिए कॉन्फ़िगर करें।

FIPS संगतता स्तरों के लिए सुझाव

Mozilla संगतता स्तर FIPS संरेखण के लिए अनुशंसित सिफर्स के बारे में मार्गदर्शन प्रदान करते हैं। TLS निरीक्षण नीति को उसी अनुसार कॉन्फ़िगर करने के लिए निम्नलिखित संगतता प्रोफाइल सहायक हो सकते हैं:

अपने संगठन की FIPS संरेखण और संगतता आवश्यकताओं के आधार पर आधुनिक या मध्यवर्ती संगतता प्रोफाइल का उपयोग करें
FIPS-अनुमोदित सिफर्स के व्यापक सेट को शामिल करने के लिए मध्यवर्ती संगतता प्रोफाइल का उपयोग करें
विरासती प्रोफाइल का उपयोग करने से बचें, क्योंकि इसमें कई पुरानी और गैर-अनुमोदित सिफर्स शामिल हैं

आधुनिक संगतता

TLS 1.3
- FIPS 140-2/140-3 के लिए अनुमोदित:
  - TLS_AES_128_GCM_SHA256
  - TLS_AES_256_GCM_SHA384
- अनुमोदित नहीं:
  - TLS_CHACHA20_POLY1305_SHA256 (कभी-कभार इस्तेमाल होता है)
TLS 1.2
- आधुनिक सेट में कोई TLS 1.2 सिफर्स FIPS-अनुमोदित नहीं हैं।

सिफारिश: आप न्यूनतम TLS संस्करण के रूप में TLS 1.3 और आधुनिक सिफर सूट लागू करने के लिए TLS निरीक्षण नीति सेट कर सकते हैं। इससे आप FIPS-अनुशंसित क्रिप्टोग्राफिक प्रथाओं के साथ अधिक निकटता प्राप्त कर सकते हैं।

मध्यवर्ती संगतता

TLS 1.3
- मॉडर्न में वही संगतता
TLS 1.2
- FIPS-अनुमोदित सिफर्स:
  - ECDHE-ECDSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-ECDSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-GCM-SHA384
  - DHE-RSA-AES128-GCM-SHA256
  - DHE-RSA-AES256-GCM-SHA384
- अनुमोदित नहीं:
  - ECDHE-ECDSA-CHACHA20-POLY1305
  - ECDHE-RSA-CHACHA20-POLY1305
  - DHE-RSA-CHACHA20-POLY1305

सिफारिश: यदि आपके संगठन को FIPS संरेखण और आधुनिक प्रोफाइल से अधिक व्यापक ग्राहक संगतता की आवश्यकता है, तो TLS 1.2 न्यूनतम TLS संस्करण के रूप में मध्यवर्ती संगतता स्तर का उपयोग करते हुए TLS निरीक्षण नीति कॉन्फ़िगर करें। यह नीति कई FIPS-अनुमोदित विकल्पों को शामिल करती है, लेकिन इसमें गैर-अनुमोदित सिफर्स भी शामिल हैं।

विरासती संगतता

FIPS-संबंधित प्रवर्तन के लिए अनुशंसित नहीं क्योंकि इसमें पुराने और गैर-अनुमोदित सिफर्स शामिल हैं।

ज्ञात सीमाएँ

Cato Networks FIPS 140-2 या 140-3 प्रमाणित नहीं है
यह कॉन्फ़िगरेशन औपचारिक अनुपालन या प्रमाणीकरण आवश्यकताओं को प्रतिस्थापित नहीं करता है
आप व्यक्तिगत TLS सिफर्स को अक्षम या ब्लॉक नहीं कर सकते हैं