Sto lavorando a un progetto relativo alla sicurezza e devo assicurarmi che sia conforme a FIPS 140-2.
Secondo la mia comprensione, la conformità FIPS è conforme sia a livello hardware che a livello software. Attualmente ci sono 2 dispositivi Android Samsung che sono conformi a FIPS, cioè hanno conformità a livello di hardware e software. Ho alcune domande.
-
Se desidero rendere compatibile la mia app Android FIPS, se l'unico modulo crittografico utilizzato nel mio progetto è conforme, è sufficiente?
Il modulo crittografico fornito da Android SDK è la libreria BouncyCastle e non è conforme a FIPS.
Sto utilizzando la libreria OpenSSL compatibile con FIPS nel mio progetto come per link . Ho costruito la mia biblioteca di progetto utilizzando la libreria OpenSSL ovvero
libssl.a
elibcrypto.a
configurate usando la modalità FIPS. -
Secondo il modulo FIPS OpenSSL per Android documentazione , il modulo è stato testato su diversi dispositivi Android dell'architettura armv7. Qui l'hardware Android non è conforme a FIPS?
-
L'algoritmo AES è conforme alla FIPS. Questo significa che se utilizzo l'algoritmo AES in codice Java invece di utilizzare la libreria OpenSSL compatibile con FIPS, non è compatibile con FIPS?
Se AES è conforme alla conformità FIPS, cosa ha a che fare con un'implementazione AES di Java o C #. Devono entrambi passare attraverso il CMVP?