米国連邦情報・技術局 (NIST) は、FIPS 140 (Federal Information Processing Standards publication 140) を公開しています。この資料では、コンピューター・システムのハードウェア・コンポーネントおよびソフトウェア・コンポーネントの両方の暗号化モジュールに対するセキュリティー要件を指定しています。FIPS 140 では、暗号アルゴリズムおよび暗号モジュールの使用に関していくつかの制限が加えられています。制限のいくつかの例は次のとおりです。
- 暗号アルゴリズムおよび鍵は、暗号モジュールの内部に含まれており、明確に定義された暗号化境界内からアクセスする必要があります。
- 弱い暗号アルゴリズム (例えば、DES および MD5) の使用は禁止されています。
- 弱い非対象鍵の長さ (例えば、鍵の長さが 1024 ビットより小さい RSA デジタル署名操作) の使用は許可されません。
- 弱い鍵の長さを指定した Diffie-Hellman グループ (鍵の長さが 2048 ビットより小さい) の使用は許可されません。この制限はグループ 1、2、および 5 に適用されます。
最新の FIPS 140 資料、およびその他の関連資料については、米国連邦情報・技術局 (NIST) の Web サイト (http://csrc.nist.gov/publications/PubsFIPS.html) を参照してください。
z/OS® システムでは、統合暗号化サービス機能 (ICSF) およびシステム SSL によって暗号化サービスが提供されます。z/OS Communications
Server は、AT-TLS
および IP セキュリティーなど、いくつかのネットワーク・セキュリティー機能の独自の暗号アルゴリズムに加えて、ICSF およびシステム SSL を使用します。ICSF、システム SSL、および z/OS Communications Server ネットワーキング・セキュリティー機能を FIPS 140 モードに構成することができますが、この場合には FIPS 140 の制限が加えられます。FIPS 140 モードを使用可能にするには、追加のセットアップや構成が必要な場合があり、これによってパフォーマンスが低下する可能性があります。
z/OS 機能の FIPS 140 モードの構成について詳しくは、以下を参照してください。