Conformità FIPS 140-2 rispetto alla convalida e ai prodotti rispetto ai moduli e ai cifrari

Naviga le tue risposte
5

Alcuni venditori sembrano pubblicizzare i propri prodotti utilizzando "algoritmi e crittografi conformi a FIPS 140-2". Tuttavia, alcuni di questi prodotti non possono essere trovati sul sito web NIST che elenca i moduli crittografici convalidati. Cosa significa questo per i clienti che desiderano utilizzare il prodotto?

L'uso di un prodotto di "algoritmi e crittografi conformi FIPS 140-2 standardizzati" è sufficiente per soddisfare i requisiti di un'organizzazione governativa o di un appaltatore? Oppure un prodotto deve essere validato dal NIST per soddisfare i requisiti di protezione dei dati del governo?

    
posta Iszi 01.09.2015 - 21:46
fonte

2 risposte

6

Penso che la risposta derivi da questo paragrafo citato ( Elenchi di convalida dei moduli ) -I sottolinea la cosa importante in grassetto:

A product or implementation does not meet the FIPS 140-1 or FIPS 140-2 applicability requirements by simply implementing an Approved security function and acquiring algorithm validation certificates. Only modules tested and validated to FIPS 140-1 or FIPS 140-2 meet the applicability requirements for cryptographic modules to protect sensitive information.

Come per

What does this really mean for customers who wish to use the product?

NIST consiglia:

Users in Federal Government organizations are advised to refer to the FIPS 140-1 and FIPS 140-2 validation list

Elenco di convalida .

    
risposta data 01.09.2015 - 22:12
fonte
4

Questo è dove devi leggere attentamente.

  • Conforme significa che il fornitore ritiene di aver seguito i requisiti di crittografia FIPS e il loro prodotto soddisfa la specificaiton.
  • Certificato significa che il prodotto è stato effettivamente testato da NIST e ha emesso un numero di certificato.

La certificazione è un processo costoso e dispendioso in termini di tempo e deve essere rifatta dopo le modifiche, in modo che le aziende adottino il percorso "conforme".

FISMA e RFI / RFP specifici, ecc. indicheranno i requisiti relativi ai moduli certificati / hardware / etc e durante la revisione richiederà il numero del certificato NIST, quindi assicurati di leggere attentamente i requisiti ed essere specifico quando invii i requisiti al venditore accettare prodotti conformi o certificati.

Modifica - assicurati anche di guardare alla versione corretta di un prodotto. La certificazione FIPS si applica a un set specifico di codice. Di solito ci sono anche requisiti operativi riguardo le impostazioni del sistema operativo, ecc. Quindi la terminologia dice alcune volte "Modalità certificata FIPS 140-2".

Pertanto, FooLock 1.0 può essere certificato, ma FooLock 1.1 non è perché pur essendo lo stesso codice sorgente, utilizza un CLR MS .NET diverso.

L'editore di FooLock può (senza alcun intento di ingannare) affermare che FooLock 1.1 è FIPS compatibile perché il modulo crittografico è "lo stesso codice" ma non è certificato e se si utilizza FooLock 1.1 per un soluzione che richiedeva un prodotto certificato, come dice South Park, avrai un brutto momento.

    
risposta data 01.09.2015 - 22:06
fonte

Leggi altre domande sui tag

La compilazione del codice non sicuro è sicura? CVE-2013-2566 è un attacco pratico contro RC4 o ancora concettuale?