Qual è la relazione tra Suite B e FIPS 140-2?

Question

Qual è la relazione tra Suite B e FIPS 140-2?

#1 da (5 voti)

2

Qual è la relazione tra gli algoritmi della Suite B e la certificazione FIPS 140-2? OpenSSL soddisfa entrambi i criteri?

Da quello che ho letto, sembra che la libreria crittografica di OpenSSL implementa molti algoritmi e il modulo oggetto FIPS 140-2 copre un sottoinsieme di questi algoritmi. Inoltre, sembra che Suite B sia un sottoinsieme ancora più piccolo della lista di algoritmi certificati FIPS 140-2.

È corretto? Sono sulla buona strada? Qualsiasi chiarezza sarebbe apprezzata. Grazie.

cryptography openssl certification fips

posta Finer Recliner 16.07.2014 - 15:48

fonte

1 risposta

Leggi altre domande sui tag cryptography openssl certification fips

Qual è la differenza tra openssl e mkcert e il certificato autofirmato di IIS numero di serie x509 - esadecimale o decimale

score 5 · Answer 1

"NSA Suite B" è una definizione di algoritmi che devono essere implementati per essere in grado di ... richiedere il supporto "Suite B". Sono più linee guida di ogni altra cosa, finalizzate a migliorare l'interoperabilità. Avere supporto per gli algoritmi della Suite B può essere un requisito per vendere prodotti al governo federale degli Stati Uniti; tuttavia, in generale, non esiste una regola che renda obbligatoria l'implementazione di questi algoritmi e nessun sistema di certificazione che garantisca formalmente l'implementazione corretta di questi algoritmi.

FIPS 140-2 è una definizione formale dei requisiti di sicurezza per i moduli crittografici; definisce "livelli". Per poter rivendicare un livello, non devi solo fare tutto come specificato in FIPS 140-2 per quel livello, ma anche fare un audit completo che verifica le tue affermazioni. Gli algoritmi implementati sono solo una piccola parte di FIPS 140-2; comprende anche aspetti come la schermatura fisica e controlli di background sugli sviluppatori. Per gli algoritmi, c'è un elenco di algoritmi approvati ; gli algoritmi esterni a tale elenco vengono semplicemente ignorati da FIPS 140-2 (il modulo può implementarli, ma non sono inclusi nell'ambito).

Poiché il governo degli Stati Uniti non è (ancora) caduto nell'Absurdity Circle of Hell, gli algoritmi della "suite B" sono un sottoinsieme degli algoritmi coperti da FIPS 140-2.

Per quanto riguarda OpenSSL :

Implementa molti algoritmi crittografici, inclusi gli algoritmi "Suite B" ma anche molti altri.
OpenSSL non è, di per sé, certificato per soddisfare qualsiasi livello di FIPS 140-2, ma include un "modulo" che ha ottenuto qualche timbro ufficiale ad un certo punto, fatte salve alcune condizioni, che sono spiegate qui e ci .

Bottom-line: chiunque può richiedere il supporto "Suite B"; questo è solo un reclamo. Una certificazione FIPS 140-2 per alcuni livelli è notevolmente più formale, costosa e restrittiva. La conformità ai livelli FIPS 140-2 spesso si insinua nelle grandi organizzazioni come requisiti; per esempio. se si desidera creare e gestire un PKI conforme a WebTrust (ed è dichiarato come tale da una società di revisione indipendente), quindi mantenere CA le chiavi in i moduli di sicurezza hardware che sono stati certificati FIPS 140-2 livello 3 ti aiuteranno molto.