用于配置加密的主密码

了解强化共享密钥

Junos OS 中的现有共享密钥（9 美元格式）目前使用混淆算法，这不是对配置密钥的强加密。如果要对配置机密进行高度加密，可以配置主密码。主密码用于派生与 AES256-GCM 一起用于加密配置机密的加密密钥。这种新的加密方法使用 $8$ 格式的字符串。

从 Junos OS 15.1X49-D50 版和 Junos OS 演化版 22.4R1 开始，引入了新的 CLI 命令来配置系统主密码，从而为配置机密提供更强的加密。主密码用于加密 Junos OS 管理进程 （mgd） 配置中的 RADIUS 密码、IKE 预共享密钥和其他共享密钥等机密。主密码本身不会保存为配置的一部分。评估密码质量的强度，如果使用弱密码，设备会提供反馈。

主密码用作基于密码的密钥派生函数 （PBKDF2） 的输入，以生成加密密钥。密钥用作伽罗瓦/计数器模式下高级加密标准 （AES256-GCM） 的输入。用户输入的纯文本由加密算法（带密钥）处理以生成加密文本（密文）。看 图 1

注：

通过受信任的平台模块 （TPM） 启用主密码加密可能会导致提交时间增加。这是因为每次提交配置时都会进行加密处理。延迟的增加因 CPU 能力和当前负载而异。

$8$ 配置机密只能在使用相同的主密码的设备之间共享。

$8$加密的密码具有以下格式：

$8$crypt-algo$hash-algo$iterations$salt$iv$tag$encrypted。有关主密码格式的详细信息，请参阅 表 1 。

表 1： $8$-加密密码格式

格式	Description
地穴算法	要使用的加密/解密算法。目前仅支持 AES256-GCM。
哈希算法	用于 PBKDF2 密钥派生的散列 （prf） 算法。
迭 代	要用于 PBKDF2 哈希函数的迭代次数。当前迭代计数默认值为 100。迭代计数会减慢哈希计数，从而减慢攻击者的猜测速度。
盐	加密期间生成的 ASCII64 编码伪随机字节序列，用于 加盐 （随机但已知的字符串）密码和 PBKDF2 密钥派生的输入。
四	加密期间生成的ASCII64编码伪随机字节序列，用作 AES256-GCM 加密函数的初始化向量。
标记	标记的ASCII64编码表示形式。
加密	加密密码的ASCII64编码表示形式。

ASCII64编码与 Base64 （RFC 4648） 兼容，但不使用填充（字符“=”）来保持字符串简短。例如： $8$aes256-gcm$hmac-sha2-256$100$y/4YMC4YDLU$fzYDI4jjN6YCyQsYLsaf8A$Ilu4jLcZarD9YnyD /Hejww$okhBlc0cGakSqYxKww

局限性

以下限制和例外适用于使用 TPM 的配置文件完整性功能：

• 仅 SRX300、SRX320、SRX340、SRX345、 SRX380、 SRX5400、SRX5600 和 SRX5800 设备支持此功能。在 SRX5400、SRX5600 和 SRX5800 设备上，仅 RE3 支持 TPM。

• 如果未设置主加密密码，则数据将以未加密的方式存储。

• 不支持文件完整性功能以及使用保存在EEPROM中的密钥的配置文件加密功能。一次只能启用一个功能。

• 在机箱群集中，两个节点必须具有相同的 TPM 设置。这意味着机箱群集中的两个节点都必须启用 TPM，或者机箱群集中的两个节点都必须禁用 TPM。机箱群集不得将一个节点设置为已启用 TPM，而将另一个节点设置为禁用 TPM。

注：

配置并运行主加密密钥 （MEK） 后，不建议降级到不支持 TPM 功能的 Junos 版本。这是因为在设备重新启动到非 TPM 电缆版本后，不支持 TPM 的映像无法解密由 TPM 加密的机密。

如果必须降级到不支持 TPM 的映像，必须先将设备清零。清零过程可确保设备不包含任何机密并删除所有密钥。清零后，设备将降级为所需的不支持 TPM 的映像。

配置主加密密码

注：

在配置主加密密码之前，请确保已进行其他配置 set system master-password plain-text-password ，某些敏感数据将不受 TPM 保护。

使用以下 CLI 命令设置主加密密码：

request security tpm master-encryption-password set plain-text-password

系统将提示您输入主加密密码两次，以确保这些密码匹配。验证主加密密码是否符合所需的密码强度。

设置主加密密码后，系统继续使用主加密密码对敏感数据进行加密，该密码由 TPM 芯片拥有和保护的主绑定密钥加密。

注：

如果在设置主加密密码时出现任何问题，则会在控制台上记录一条严重的 ERROR 消息，并终止进程。

验证 TPM 的状态

可以使用命令 show security tpm status 验证 TPM 的状态。将显示以下信息：

• 启用/禁用 TPM

• TPM 所有权

• TPM 的主绑定密钥状态（已创建或未创建）

• 主加密密码状态（设置或未设置）

从 Junos OS 版本 15.1X49-D120 和 Junos OS 版本 17.4R1 开始，可信平台模块 （TPM） 固件已更新。升级后的固件版本提供了额外的安全加密并提高安全性。更新的 TPM 固件随 Junos OS 软件包一起提供。有关更新 TPM 固件的信息，请参阅 升级 SRX 设备上的 TPM 固件。要确认 TPM 固件版本，请使用 show security tpm status 命令。 TPM Family 并 TPM Firmware version 引入了输出字段。

更改主加密密码

更改主加密密码是使用 CLI 完成的。

要更改主加密密码，请在操作模式下输入以下命令：

request security tpm master-encryption-password set plain-text-password

注：

建议在更改主加密密码时不要进行任何配置更改。

系统检查是否已配置主加密密码。如果配置了主加密密码，则系统会提示您输入当前的主加密密码。

输入的主加密密码将根据当前主加密密码进行验证，以确保这些主加密密码匹配。如果验证成功，系统将提示您以纯文本形式输入新的主加密密码。系统将要求您输入密钥两次以验证密码。

然后，系统继续使用新的主加密密码重新加密敏感数据。您必须等待此重新加密过程完成，然后才能再次尝试更改主加密密码。

如果由于某种原因，加密的主加密密码文件丢失或损坏，系统将无法解密敏感数据。系统只能通过以明文形式重新导入敏感数据并重新加密来恢复。

如果系统遭到入侵，管理员可以使用以下方法恢复系统：

• 清除 u-boot 中的 TPM 所有权，然后使用 TFTP 或 USB 在启动加载程序中安装映像（如果 USB 端口不受限制）。

注：

如果安装的软件版本早于 Junos OS 15.1X49-D110 版，并且启用了主加密密码，则安装 Junos OS 15.1X49-D110 版将失败。您必须备份配置、证书、密钥对和其他机密，并使用 TFTP/USB 安装过程。

局限性

• 如果删除主加密密钥 （MEK），则无法解密数据。要删除 MEK，您必须将设备归零。

• 要降级路由引擎，必须将路由引擎清零。设备归零后，可以安全地将其降级到不支持此功能的映像。

• 在双路由引擎配置中，如果由于 MEK 不匹配而需要恢复备份路由引擎，则需要禁用 GRES，并将备份路由引擎归零。备份例程引擎启动后，使用主 RE 上的命令配置 request security tpm master-encryption-password set plain-text-password MEK。

• 在双路由引擎配置中，如果需要更换备份路由引擎，必须先将新的备份路由引擎清零，然后再添加双路由引擎配置，必须禁用 GRES，并使用命令在 request security tpm master-encryption-password set plain-text-password 主 RE 上重新配置 MEK。

• 在设备上配置 OSPF、IS-IS、MACsec、BGP 和 VRRP 并重置主密码时，路由/DOT1x 子系统会存在一段时间（以秒为单位）延迟。

• 在设备上配置主密码、MEK、OSPF、IS-IS、MACsec、BGP 和 VRRP 并重新启动设备时，路由/DOT1x 子系统会存在激活时间（以秒为单位）延迟。