Recentemente ho lavorato su un certo numero di A & A compiti per il RMF per un ente governativo degli Stati Uniti, e sto avendo difficoltà a capire correttamente il controllo IA-7 di NIST SP 800-53 e il supplemento l'orientamento e l'800-53A non mi forniscono la chiarezza richiesta. Per riferimento, questa è la descrizione del controllo per IA-7:
The information system implements mechanisms for authentication to a cryptographic module that meet the requirements of applicable federal laws, Executive Orders, directives, policies, regulations, standards, and guidance for such authentication.
In particolare, sto attraversando un periodo difficile a capire cosa significhi "autenticazione per un modulo crittografico". Come si fa ad autenticarsi su un modulo invece di avere semplicemente i diritti di accesso necessari per il modulo sul sistema? Per un po 'di background, utilizziamo principalmente openssl, ma sfruttiamo anche urandom e pgcrypto.