Ho bisogno di assistenza per comprendere correttamente il controllo IA-7 in NIST SP 800-53

3

Recentemente ho lavorato su un certo numero di A & A compiti per il RMF per un ente governativo degli Stati Uniti, e sto avendo difficoltà a capire correttamente il controllo IA-7 di NIST SP 800-53 e il supplemento l'orientamento e l'800-53A non mi forniscono la chiarezza richiesta. Per riferimento, questa è la descrizione del controllo per IA-7:

The information system implements mechanisms for authentication to a cryptographic module that meet the requirements of applicable federal laws, Executive Orders, directives, policies, regulations, standards, and guidance for such authentication.

In particolare, sto attraversando un periodo difficile a capire cosa significhi "autenticazione per un modulo crittografico". Come si fa ad autenticarsi su un modulo invece di avere semplicemente i diritti di accesso necessari per il modulo sul sistema? Per un po 'di background, utilizziamo principalmente openssl, ma sfruttiamo anche urandom e pgcrypto.

    
posta scjohnson 02.06.2017 - 15:42
fonte

1 risposta

2

Un "modulo crittografico" è definito come hardware, firmware o software che implementa funzioni crittografiche come crittografia, decrittografia, firme digitali, tecniche di autenticazione e generazione di numeri casuali. Quindi, come puoi vedere, questo è più vago e comprende più delle tecnologie che hai citato. Anche per essere compatibile con NIST, le tecnologie che rientrano in questa categoria devono essere convalidate sotto FIPS, il NIST ha un programma di convalida per i moduli crittografici che puoi trovare qui: link E un elenco di moduli di crittografia convalidati NIST qui: link

    
risposta data 02.06.2017 - 17:31
fonte

Leggi altre domande sui tag