Aiuto sull'interpretazione del paragrafo FIPS-140

Naviga le tue risposte
4

Questo è dallo standard FIPS 140-2:

Cryptographic keys stored within a cryptographic module shall be stored either in plaintext form or encrypted form. Plaintext secret and private keys shall not be accessible from outside the cryptographic module to unauthorized operators A cryptographic module shall associate a cryptographic key (secret, private, or public) stored within the module with the correct entity (e.g., person, group, or process) to which the key is assigned. Documentation shall specify the key storage methods employed by a cryptographic module.

Non sono sicuro di poterlo interpretare correttamente.
Se le chiavi possono essere archiviate in formato testo in chiaro significa che non vi sono aspettative di sicurezza per la memorizzazione delle chiavi (come una struttura) da FIPS?
Oppure per invertire la domanda: se le chiavi sono archiviate in forma crittografata, l'algoritmo utilizzato per crittografare le chiavi deve essere certificato FIPS? Se sì perché, dal momento che potrebbero essere archiviati in testo in chiaro e comunque essere accettabili dallo standard. > La mia interpretazione di questo è che puoi archiviare le chiavi come vuoi, ma assicurati che nessun utente non autorizzato possa accedervi. Ad es. memorizzali in testo semplice e "scherma" il PC che ha il testo in chiaro. Quindi nessun tipo di e.g. Sono necessari algoritmi di crittografia FIPS.
Qualsiasi input su questo è molto apprezzato.
Grazie!

    
posta Jim 02.06.2011 - 23:33
fonte

1 risposta

4

Penso che significhi che se si memorizza la chiave in forma di testo in chiaro all'interno del modulo di crittografia, è necessario assicurarsi che nessun altro possa accedere al luogo in cui la chiave è memorizzata nel modulo di crittografia. Ad esempio, deve essere archiviato nella memoria privata a cui può accedere solo il modulo crittografico e a cui altri non possono accedere. Ciò significa che sono le aspettative di sicurezza per l'archiviazione delle chiavi.

Penso che la parte che ti ha confuso sia la differenza tra la memorizzazione di una chiave nella memoria interna del modulo crittografico (a cui altri non possono accedere) e l'esportazione della chiave nel mondo esterno. Si suppone che ci sia un perimetro di sicurezza attorno al modulo crittografico che impedisce ad altri di manometterlo o di esaminarne la memoria interna. Se la chiave è memorizzata in modo non criptato nella memoria interna, la memoria interna deve essere progettata in modo che non possa essere accessibile da nessuno / a parte il codice del modulo crittografico.

Non penso che sia esattamente giusto dire che le chiavi possono essere archiviate in testo in chiaro e comunque essere accettate dallo standard. In particolare, non penso sia corretto affermare che è possibile memorizzare le chiavi come si desidera. A quanto ho capito, FIPS non ti consente di archiviare una chiave in testo normale ovunque tu voglia; sarebbe un rischio per la sicurezza avere una chiave non cifrata che giace nella memoria non protetta.

    
risposta data 03.06.2011 - 03:08
fonte

Leggi altre domande sui tag

Qual è l'impatto del livello di convalida dei certificati (o classe) sulle applicazioni Web distribuite? È possibile richiamare comandi OS da uno script NASL in OpenVAS?