Che cosa sono gli algoritmi affermati dal fornitore in FIPS 140-2

Naviga le tue risposte
3

FIPS 140-2 consente agli algoritmi approvati FIPS di essere testati da CAVP o affermati dal fornitore. Cosa implica "il venditore affermato" qui? Posso dire la mia implementazione AES come affermato dal fornitore e aggiungerla al certificato FIPS?

    
posta aviator 21.11.2017 - 13:50
fonte

1 risposta

4

Questa è una supposizione, ma a pagina 6 del Requisiti di test derivati per FIPS PUB 140-2 , abbiamo (sottolineatura mia):

Required Vendor Information

VE01.12.01: The vendor shall provide a validation certificate for all Approved cryptographic algorithms.

VE01.12.02: The vendor shall provide a list of all non-Approved security functions.

VE01.12.03: The vendor shall provide a list of all vendor affirmed security methods.

VE01.12.04: The vendor provided nonproprietary security policy shall include reference to all vendor affirmed security methods.

Sembra che, durante una certificazione, rompano le implementazioni crittografiche in 3 categorie:

  1. Algoritmi crittografici approvati : implementazioni che sono già state certificate (che usi internamente). Questi saranno esclusi dalla revisione.
  2. Funzioni di sicurezza non approvate : se vuoi davvero utilizzare MD5 o twofish o qualche altra crittografia non FIPS, devi dichiararlo. Questi saranno esclusi dalla revisione.
  3. metodi di sicurezza affermati dal fornitore : elementi che il venditore dichiara conformi alle specifiche, ma non ancora verificati dal NIST. Presumibilmente questo è ciò che stai sottoponendo a test.

Quindi per la tua domanda:

Can I say my AES implementation as vendor affirmed and get it added to the FIPS certificate?

Certo! Sei perfettamente benvenuto nell'esecuzione dell'implementazione AES tramite CAVP e ottieni la certificazione FIPS (se passa, ovviamente)

    
risposta data 21.11.2017 - 17:30
fonte

Leggi altre domande sui tag

Come si calcola l'hash md2 con OpenSSL? Archiviazione chiavi private in un'applicazione desktop Java