Questo è dove devi leggere attentamente.
-
Conforme significa che il fornitore ritiene di aver seguito i requisiti di crittografia FIPS e il loro prodotto soddisfa la specificaiton.
-
Certificato significa che il prodotto è stato effettivamente testato da NIST e ha emesso un numero di certificato.
La certificazione è un processo costoso e dispendioso in termini di tempo e deve essere rifatta dopo le modifiche, in modo che le aziende adottino il percorso "conforme".
FISMA e RFI / RFP specifici, ecc. indicheranno i requisiti relativi ai moduli certificati / hardware / etc e durante la revisione richiederà il numero del certificato NIST, quindi assicurati di leggere attentamente i requisiti ed essere specifico quando invii i requisiti al venditore accettare prodotti conformi o certificati.
Modifica - assicurati anche di guardare alla versione corretta di un prodotto. La certificazione FIPS si applica a un set specifico di codice. Di solito ci sono anche requisiti operativi riguardo le impostazioni del sistema operativo, ecc. Quindi la terminologia dice alcune volte "Modalità certificata FIPS 140-2".
Pertanto, FooLock 1.0 può essere certificato, ma FooLock 1.1 non è perché pur essendo lo stesso codice sorgente, utilizza un CLR MS .NET diverso.
L'editore di FooLock può (senza alcun intento di ingannare) affermare che FooLock 1.1 è FIPS compatibile perché il modulo crittografico è "lo stesso codice" ma non è certificato e se si utilizza FooLock 1.1 per un soluzione che richiedeva un prodotto certificato, come dice South Park, avrai un brutto momento.