FIPS 140-2 實驗性支援

我們很高興宣布，最新的 Keycloak 20 版本包含 FIPS 140-2 的實驗性支援！

FIPS 140-2 標準是一套針對密碼學模組的要求，美國政府和相關單位使用的軟體必須符合這些要求。符合 FIPS 標準的軟體應僅使用 FIPS 規範允許的安全密碼學演算法，且必須以安全的方式使用它們。Keycloak 並不直接實作任何密碼學演算法，但它內部需要使用許多密碼學功能。為此，Keycloak 主要依賴Java 密碼學 SPI和第三方函式庫來實作密碼學相關功能，尤其是BouncyCastle 函式庫。

FIPS 支援通常在作業系統層級啟用。例如，在安裝 RHEL 8.6 時，您可以在作業系統安裝期間啟用核心標誌，以確保您的作業系統符合 FIPS 標準。當在作業系統層級啟用 FIPS 時，表示包括 OpenJDK 在內的各種套件也被設定為符合 FIPS 標準，並且預先配置為依賴 FIPS 核准的功能。例如，java.security 設定檔會預先配置為僅包含符合 FIPS 標準的安全供應商。

Keycloak 中的 FIPS 支援表示 Keycloak 伺服器可以在符合 FIPS 標準的作業系統上，使用符合 FIPS 標準的 Java 執行。這也表示 Keycloak 伺服器符合 FIPS 標準，可供嚴格要求 FIPS 140-2 支援的單位使用。即使您未使用啟用 FIPS 的作業系統，您仍然可以嘗試啟用 FIPS 的 Keycloak 伺服器，方法是使用自訂的 java.security 檔案，其中僅設定 BouncyCastle-FIPS 安全供應商，如下方步驟 4 中的說明。

感謝 David Anderson 貢獻此功能的部分程式碼。同時，感謝 Sudeep Das 和 Isaac Jensen 最初的原型開發，它們為我們提供了靈感。