私はソフトウェアモジュールのFIPS 140-2検証プロセスを進めています。私は関連資料を研究しましたが、私はまだ私は第三者FIPS検証済みの承認されたアルゴリズムを使用することができますか?または承認されたアルゴリズムの独自の実装を記述し、最初にNISTから承認を受ける必要がありますか?第三者のFIPSは、FIPSで検証された暗号モジュールで検証された暗号アルゴリズムを検証しましたか?
私は混乱しています。 Fips validation module listでは、ほとんどの企業が独自の検証済みアルゴリズムを持っており、最初に独自のアルゴリズム実装を検証してから、検証済みの暗号モジュールを使用する必要があるという印象を与えています。これは正しいですか?
ご協力いただければ幸いです。
FIPS認定ラボでは、アルゴリズムがどこから来たかに関わらず、実装がFIPS 140-2標準に準拠していることのみが気になりません。実装が準拠している場合は、その証明書を取得します。
たとえば、AES certification listを見ると、多くの人がOpenSSLのAES実装を使用していることがわかります。ハードウェアの実装では、各組織がハードウェアでAESを再実装するのではなく、ベンダーの暗号化コアを使用する可能性があります。
あなたがしなければならないことは、サードパーティの実装をFIPS 140-2標準に準拠させることです。したがって、パワーオン・セルフ・テストと連続セルフ・テストなどを書く必要があるかもしれません。実装でバグを修正して、認証テストに合格する必要があるかもしれません。たとえば、OpenSSLのRSA実装が0.97j/0.9.8b(2006年以降)の場合、Bleichenbacher RSA forgery attackが脆弱です。その古いRSA実装を使用していた場合は、修正する必要があります。
明らかに、サードパーティの実装は以前はFIPS認証を受けていなくてもかまいません。認定ラボでは、実装の一環としてそれをテストし、認定します。
したがって、私がopenSSLのFIPSで検証されたAES実装を自分のモジュールで使用している場合、その実装用に別個の証明書を取得しますか?そうですか? –
はい、そうです。どこから来たのかにかかわらず、モジュール内のすべてのアルゴリズムの証明書を取得します。 – indiv
ありがとうございます。彼らが言っているように "ムチャス・グラシアス"。 :) –