Internet Key Exchange デーモン (IKED)、ネットワーク・セキュリティー・サービス・デーモン (NSSD)、および TCP/IP スタックのコンポーネントは、IP セキュリティー用のさまざまな暗号化操作を実行します。IKED および NSSD は、暗号鍵およびデジタル署名を管理し、認証のためのハッシュを実行します。IKED および TCP/IP スタックは、IPSec トンネルを通過するメッセージの暗号化および暗号化解除を実行します。IKE プロトコルのアーキテクチャー機能拡張では、ハッシュおよび暗号化を実行するための新しいアルゴリズムを定期的に導入します。
連邦情報処理標準 (FIPS: Federal Information Processing Standards) 文書 140 (FIPS 140) は、暗号化コンポーネントおよびこれらのコンポーネントによって実行される操作に対して制限を加えることによって、高いレベルの暗号化操作の保全性を保証します。弱いアルゴリズムは禁止されており、またすべての操作は明確に定義された暗号化境界内に含まれている暗号モジュールによって実行される必要があります。
IKED、NSSD、および TCP/IP スタック・コンポーネントを FIPS 140 モードで動作するよう構成することができます。これを行う場合、サポートされる暗号アルゴリズムを制限し、コンポーネント間の対話および z/OS® システムの暗号化に関する他のハードウェアおよびソフトウェア・コンポーネント (例えば統合暗号化サービス機能 (ICSF) やシステム SSL など) との対話を変更します。
TCP/IP スタックに対して FIPS 140 モードが構成されている場合、ポリシー・エージェントは IP セキュリティー・ファイルを解析するときに強制的にいくつかの FIPS 140 関連の制限を加えます。その他の制限は、関連するすべてのソフトウェア・コンポーネント (IKED および NSSD) の FIPS 140 モードが認識された後で、動的トンネルがアクティブ化されるときに施行されます。
各 IKED、NSSD、および TCP/IP スタック・コンポーネントごとに独立して FIPS 140 モードを構成します。さらに ICSF およびシステム SSL は、FIPS 140 をサポートするように構成する必要があります。一部のコンポーネントのみで FIPS 140 モードを使用し、他のコンポーネントでは使用しないと、結果としてシステムは FIPS 140 モードでは動作しない可能性があります。 FIPS 140 モードを使用するよう構成されているコンポーネントは、FIPS 140 モードでも動作するコンポーネントからの暗号サービスのみを使用できます。したがって、FIPS 140 モードの不一致があると機能上の問題を引き起こす可能性があります。
可能な場合、IKED、NSSD、および TCP/IP スタックすべてに対して同時に FIPS 140 モードを使用可能にする必要があります。段階ごとに FIPS 140 サポートを実装する必要がある場合は、コンポーネント内で FIPS 140 モードを以下の順番で使用可能に設定します。
システムで FIPS 140 モードを使用可能化すると、パフォーマンスに影響を与える場合があります。例えば、弱い暗号化アルゴリズムの使用から、より多くの処理の実行を必要とする暗号化アルゴリズムの使用に変更する必要がある場合があります。アルゴリズムの変更が必要なくても、FIPS 140 モードが使用可能になっていると、使用可能になっていないときに比べて FIPS 140 では追加の自己検査要件およびアクセス制限が加えられ、また FIPS 140 モードではいくつかの暗号化操作のハードウェア加速実装が使用可能でない可能性があるため、IKED、NSSD、および TCP/IP スタックは暗号化操作を異なる方法で実行します。