Vulnerability in 3DES and AES128 encryption optionsの対応
search cancel

Vulnerability in 3DES and AES128 encryption optionsの対応

book

Article ID: 274454

calendar_today

Updated On:

Products

Top Secret

Issue/Introduction

Top Secret for z/OS 16.0 についてBroadcom Security Advisories(セキュリティの脆弱性情報)が発行されました。

Top Secret for z/OS 16.0 Vulnerability in 3DES and AES128 encryption options


当セキュリティ情報の内容と対応方法を教えてください。

 

Environment

Release : 16.0

Resolution

当セキュリティ情報の内容と対応方法は以下の通りです。

内容:

Broadcom Mainframe Softwareは、社内で継続的に実施している侵入テストを通じて、Top Secret for z/OS 16.0に重大な脆弱性があることを発見しました。この脆弱性を利用することで、権限のあるユーザーが特権を昇格させ、環境に不正にアクセスできる可能性があります。

対象設定:

Top Secret for z/OS 16.0でTSSオプションAESENC(NONE)またはAESENC(128)を設定し、パスワード/パスフレーズ暗号化に「3DES」または「AES 128」を使用している環境。
なお、TSSオプションAESENC(256)を設定し、パスワード/パスフレーズ暗号化に「AES 256」を使用している環境では、当セキュリティ情報は適用されず、特別な対応は必要ありません。


対応:

パスワード/パスフレーズ暗号化に「拡張AES 128」または「AES 256」使用するよう、セキュリティファイルの再作成を実施します。

(1) 現在のパスワード/パスフレーズ暗号化設定を確認します。

発行コマンド:

 「TSS MODIFY STATUS(PASSWORD)」

出力例:

 TSS9661I        CA Top Secret PASSWORD Status                                  
  NEWPW(MIN=04,MAX=008,WARN=03,MINDAYS=01,NR=0,ID,TS,RS)                        
  HPBPW(000)                 MSUSPEND(NO)                NPWRTHRESH(2)          
  PWEXP(010)                 PWHIST(03)                  PTHRESH(004)           
  PWVIEW(NO)                                                                    
  PWVERIFY(NO)                                           PWADMIN(NO)            
  AESENC(NONE)               AESCACHE(OFF)                                      
 TSS0300I  MODIFY   FUNCTION SUCCESSFUL                                         
  AESENC(NONE) の場合:パスワード/パスフレーズ暗号化に「3DES」を使用
  AESENC(128)  の場合:パスワード/パスフレーズ暗号化に「AES 128」を使用
  AESENC(256)  の場合:パスワード/パスフレーズ暗号化に「AES 256」を使用


(2) AESENC(256)  の場合

当Broadcom Security Advisoriesについての対応は必要ありません。

(3) AESENC(NONE) の場合

TSSMAINTで「AESENCRYPT128E」または「AES256ENCRYPT」を指定し、セキュリティファイルを再作成後、
TSSXTENDにて既存セキュリティファイルからのコピーを実施します。

* 「AESENCRYPT128E」を指定する場合、LU11480 の適用が必要です。

  LU11480 SECURITY OR INTEGRITY PROBLEM

* 「AES256ENCRYPT」が推奨です。当指定ではLU11480 の適用は必須ではありません。

* セキュリティファイル再作成とTSSXTENDによる既存セキュリティファイルからのコピーについては、以下文書をご参照ください。

セキュリティファイル再作成と既存セキュリティファイルからのコピー手順

(4) AESENC(128)の場合

以下のオプションのいずれかを実施してください。

[オプション1]

TSSMAINTで「AESENCRYPT128E」または「AES256ENCRYPT」を指定し、セキュリティファイルを再作成後、
TSSXTENDにて既存セキュリティファイルからのコピーを実施します。

* 「AESENCRYPT128E」を指定する場合、LU11480 の適用が必要です。

* 「AES256ENCRYPT」が推奨です。当指定ではLU11480 の適用は必須ではありません。

* セキュリティファイル再作成とTSSXTENDによる既存セキュリティファイルからのコピーについては、以下文書をご参照ください。

セキュリティファイル再作成と既存セキュリティファイルからのコピー手順

[オプション2]

-1-

AESENC制御オプションに、「拡張AES 128」を使用する「AESENC(128E)」または「AES 256」を使用する「AESENC(256)」を指定します。
「AESENC(128E)」または「AES 256」の指定にて、既存パスワードは引き続き「AESENC(128)」にて暗号化されます。
次回パスワード更新時に「AESENC」の指定にてパスワード暗号化が実施されます。

-2-

Top Secretを再起動します。

-3-

「AESENC」指定を有効化するには、Top Secret再起動時に出力の「TSS9227A」もしく「TSS9257A」メッセージに「A」を返答してください。

TSS9227A - ENTER < A > TO ALLOW AESENC(256) < R > to REJECT

TSS9257A - ENTER < A > TO ALLOW AESENC(128E) < R > to REJECT


-4-

「AESENC(128E)」指定の場合、LU11480 の適用が必要です。

(5) 考慮点

* 一旦高いレベルの暗号化を実施した場合、低いレベルの暗号化への戻しは実施できません。

*「3DES」または「AES 128」で暗号化実施のセキュリティファイルを「AES 256」実施のセキュリティファイルにコンバートするのにLU11480 の適用は必須ではありません。

*「3DES」または「AES 128」で暗号化実施のセキュリティファイルと「AES 128E」または「AES 256」で暗号化実施のセキュリティファイルのCPFによるシステム間接続に問題はありません。

* CPF間でのパスワードの暗号化は、そのシステムで選択の暗号化で実施されます。

*「AES 256」による暗号化実施時は「AESCACHE」制御オプションを「ON」に設定します。当設定にて「AES 256」によるログオンパスワード検証時パフォーマンスを改善できます。なお、「AESCACHE」制御オプションの有効化には、PTF SO05264の適用が必要です。

 SO05264 AES ENCRYPTED PASSWORD CACHING OPTION 
Powered by Wolken Software