Esiste un'organizzazione che rivede / approva le implementazioni crittografiche?

Naviga le tue risposte
12

A quanto ho capito, il NIST approva gli algoritmi crypto ma non copre le implementazioni specifiche. Penso di aver letto su IEEE che approva le implementazioni hardware di, ad es. AES, ma non riesco a pensare a nessuna organizzazione che esegua una funzione analoga per implementazioni software di algoritmi crittografici.

Domanda di corollario / follow-up: esistono molte librerie crittografiche open source e liberamente disponibili; qualcuna di queste è standardizzata / approvata da qualsiasi tipo di ente normativo?

    
posta TJ Ellis 17.04.2011 - 21:22
fonte

1 risposta

12

Dal 1995, il NIST ha anche certificato le implementazioni, tramite il Programma di validazione del modulo di crittografia (CMVP) che convalida i moduli crittografici per l'aderenza agli standard FIPS 140.

OpenSSL è open source e il modulo dell'oggetto FIPS OpenSSL è stato convalidato tramite questo programma: OpenSSL: note importanti su OpenSSL e FIPS 140-2 .

The OpenSSL FIPS Object Module validation is unique among all FIPS 140-2 validations in that the product is "delivered" in source code form, meaning that if you can use it exactly as is and can build it (according to the very specific documented instructions) for your platform, then you can use it as validated cryptography on a "vendor affirmed" basis.

Nota che, come si suol dire, " è complicato ". Quindi controlla attentamente quei link e preparati a frustranti interazioni tra le sfide tecniche e burocratiche.

    
risposta data 17.04.2011 - 22:01
fonte

Leggi altre domande sui tag

Sfruttare un server PHP con un caricamento di file .jpg Come può Process Hacker visualizzare la memoria del mio gestore di password senza diritti amministrativi?