Che cosa copre un certificato di convalida FIPS? Solo la versione del software o il sistema operativo e l'hardware?

2

A quanto ho capito, se si desidera essere conformi ai FIPS, è necessario utilizzare componenti certificati FIPS. La mia domanda è: quanto può essere diverso l'utilizzo del componente da parte del certificato di convalida del componente affinché tu stia ancora utilizzando un componente certificato FIPS?

Ad esempio, ecco un certificato di convalida per NSS: link

Il certificato indica che la versione del software NSS è 3.12.4 ed è stata testata su RHELv5 su un sistema IBM x3550 e su un HP ProLiant DL 145.

Suppongo (?) che io abbia assolutamente bisogno di usare la versione NSS 3.12.4 poiché quella è la versione che il certificato dice che è stata convalidata. (Per il momento sto ignorando la possibile esistenza di versioni certificate successive di NSS: pretendi che questo sia l'ultimo se non lo è).

Ma per quanto riguarda il sistema operativo e l'hardware del server? Se eseguo NSS 3.12.4 in un'installazione di Ubuntu, mi sembra ancora di utilizzare un componente certificato FIPS? Cosa succede se lo eseguo su RHELv5 ma su hardware diverso da quello menzionato nel certificato di convalida?

Aggiornamento:

Cercherò di essere più chiaro / esplicito ...

NSS 3.12.4 è considerato validato / certificato quando viene eseguito su qualsiasi sistema operativo o solo quando viene eseguito su RHELv5? E come si determina la risposta a questa domanda?

    
posta QuantumMechanic 12.02.2015 - 22:18
fonte

1 risposta

2

Hanno certificato solo il modulo descritto nel documento. Non hanno certificato che ProLiant fosse conforme ai FIPS e non hanno certificato che il sistema operativo Red Hat fosse conforme ai FIPS. Quello che è successo è la macchina e l'ambiente che hanno usato quando hanno testato la conformità del modulo.

Secondo FIPS 140-2 paragrafo 10, consentono la certificazione di un modulo hardware, un modulo software o una combinazione di entrambi. Spetta al fornitore del sistema di sicurezza ciò che chiede di certificare. Ma l'unica cosa che è effettivamente certificata è ciò che scrivono sul certificato.

    
risposta data 13.02.2015 - 03:05
fonte

Leggi altre domande sui tag