이것은 FIPS 준수 및 TLS 버전 및 암호 제품군에 대한 비공식 초안입니다.
본 문서는 Cato Networks가 연방 정보 처리 표준(FIPS) 준수와 관련되는 방식을 설명합니다. 또한, TLS 검사 정책 기능에서 TLS 버전 및 암호 제품군 호환성 수준을 사용자 정의하는 것이 어떻게 FIPS 140-2 및 140-3 암호화 요구 사항과 관련되는지도 논의합니다.
참고로, Mozilla Server Side TLS wiki를 참조하십시오. 이 wiki는 호환성 수준(Modern, Intermediate, Legacy) 및 관련 암호 구성을 제공합니다.
Cato Networks는 FIPS를 준수하지 않습니다. 그러나, TLS 검사 정책을 사용하여 특정 TLS 버전 및 암호 제품군의 호환성 수준을 FIPS 지침과 더 일관성 있도록 강제할 수 있습니다. 자세한 내용은 계정을 위한 TLS 검사 정책 설정을 참조하십시오.
계정에서 특정 TLS 버전 및 호환성 수준을 강제하려면, 규칙 작업에 대한 TLS 버전 및 암호 제품군 옵션을 사용하여 TLS 검사 정책을 구성하십시오.
Mozilla 호환성 수준은 FIPS 정렬에 권장되는 암호에 대한 지침을 제공합니다. 다음 호환성 프로파일은 TLS 검사 정책을 적절히 구성하는 데 도움이 될 수 있습니다.
-
기관의 FIPS 정렬 및 호환성 요구에 따라 Modern 또는 Intermediate 호환성 프로파일을 사용하십시오.
-
FIPS 승인 암호 집합을 더 많이 포함하려면 Intermediate 호환성 프로파일을 사용하십시오.
-
많은 구식 및 비준수 암호를 포함하고 있기 때문에 Legacy 프로파일 사용은 피하십시오.
-
TLS 1.3
-
FIPS 140-2/140-3으로 승인됨:
-
TLS_AES_128_GCM_SHA256 -
TLS_AES_256_GCM_SHA384
-
-
비승인됨:
-
TLS_CHACHA20_POLY1305_SHA256(드물게 사용됨)
-
-
-
TLS 1.2
-
Modern 세트의 TLS 1.2 암호는 FIPS 승인을 받지 않았습니다.
-
권장 사항: TLS 검사 정책을 설정하여 최소 TLS 버전으로 TLS 1.3을 강제하고, Modern 암호 제품군을 사용할 수 있습니다. 이렇게 하면 FIPS 권장 암호화 관행에 더 가깝게 정렬하는 데 도움이 될 수 있습니다.
-
TLS 1.3
-
Modern과 동일한 호환성
-
-
TLS 1.2
-
FIPS 승인 암호:
-
ECDHE-ECDSA-AES128-GCM-SHA256 -
ECDHE-RSA-AES128-GCM-SHA256 -
ECDHE-ECDSA-AES256-GCM-SHA384 -
ECDHE-RSA-AES256-GCM-SHA384 -
DHE-RSA-AES128-GCM-SHA256 -
DHE-RSA-AES256-GCM-SHA384
-
-
비승인됨:
-
ECDHE-ECDSA-CHACHA20-POLY1305 -
ECDHE-RSA-CHACHA20-POLY1305 -
DHE-RSA-CHACHA20-POLY1305
-
-
권장 사항: 기관이 FIPS 정렬과 Modern 프로파일이 허용하는 것보다 더 넓은 클라이언트 호환성을 요구하는 경우, TLS 검사 정책을 최소 TLS 버전으로 TLS 1.2로 구성하여 Intermediate 호환성 수준을 사용하십시오. 이 정책에는 여러 FIPS 승인 옵션이 포함되어 있지만 승인되지 않은 암호도 포함되어 있습니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.