RADIUS e TACACS + sono sempre ammessi negli scenari conformi FIPS 140-2?
Capisco che RADIUS usa l'algoritmo di hashing MD5 e sono abbastanza sicuro che anche TACACS + lo faccia, e non credo che ci sia alcuna implementazione di RADIUS o TACACS + che non usi l'hashing MD5 algoritmo. Per favore correggimi se sbaglio.
E MD5 è vietato nello standard FIPS 140-2.
Tuttavia, ho trovato questo Cisco doc che menziona qualcosa chiamato" RADIUS Keywrap "e sembra implicare che sarai in grado di utilizzare RADIUS se abiliti il keywrapping e sarai comunque conforme a FIPS .
Quindi ... cos'è il keywrapping RADIUS? Significa che l'algoritmo MD5 non è più utilizzato? O è ancora possibile mantenere la conformità FIPS se si "avvolge" un algoritmo insicuro all'interno di uno sicuro?
Modifica: trovato nel documento che mfinni ha collegato:
RADIUS Keywrap
RADIUS keywrap support is an extension of the RADIUS protocol. It provides a FIPS-certifiable means for the Cisco Access Control Server (ACS) to authenticate RADIUS messages and distribute session keys.
RADIUS keywrap increases RADIUS protocol security by using the Advanced Encryption Standard (AES) keywrap algorithm to transfer keys while an HMAC-SHA1 algorithm is used to protect packet integrity. It specifies that the key encryption key (KEK) and the hash key must be different from each other, should not be based on a password, and must be cryptographically independent of the RADIUS shared secret used in calculating the response authenticator.
OK ... questo risponde.