필자는 소프트웨어 모듈의 FIPS 140-2 인증 프로세스를 진행할 예정입니다. 내가 관련 자료를 공부했지만 아직 확실하지 않은 한 가지는 제 3 자 FIPS 유효화 된 알고리즘을 사용할 수 있습니까? 또는 승인 된 알고리즘을 직접 구현하여 NIST의 승인을 받아야합니까?FIPS에서 유효성이 확인 된 타사 FIPS의 유효화 된 암호화 모듈?
나는 혼란 스럽다. Fips validation module list에서 대부분의 회사는 자신의 유효성 검사 모듈에서 자신의 유효성이 검증 된 알고리즘을 가지고 있습니다.이 알고리즘을 사용하면 먼저 자체 알고리즘 구현의 유효성을 확인한 다음 유효성이 입증 된 암호화 모듈로 사용해야한다는 인상을줍니다. 이게 옳은 거니?
도움을 주시면 감사하겠습니다.
FIPS 인증 실험실은 알고리즘의 출처를 신경 쓰지 않고 구현이 FIPS 140-2 표준을 준수한다는 점만 신경 쓰고 있습니다. 구현이 준수하면 인증서를 얻습니다.
예를 들어 AES certification list을 보면 많은 사람들이 OpenSSL의 AES 구현을 사용하고 있음을 알 수 있습니다. 하드웨어 구현은 각 조직이 하드웨어에서 AES를 다시 구현하는 것이 아니라 공급 업체의 암호화 코어를 사용합니다.
그래도해야 할 일은 FIPS 140-2 표준을 준수하는 타사 구현을 만드는 것입니다. 따라서 파워 온 자체 테스트 및 지속적인 자체 테스트 등을 작성해야 할 수 있습니다. 구현시 버그를 수정해야 인증 테스트를 통과 할 수 있습니다. 예를 들어, OpenSSL의 최대 0.9.7j/0.9.8b (2006 년부터)는 Bleichenbacher RSA forgery attack에 취약하므로 이전 RSA 구현을 사용하는 경우 수정해야합니다.
명확하게 말하면, 타사 구현은 이전에 FIPS 인증을 받았어 않아도됩니다. 귀사의 인증 실험실은 구현의 일부로이를 테스트하고 인증합니다.
예를 들어, 내 모듈에서 openSSL의 FIPS 검증 AES 구현을 사용하는 경우 해당 구현에 대한 별도의 인증서를 받게됩니까? 그래? –
예, 맞습니다. 모듈의 출처에 관계없이 모듈의 모든 알고리즘에 대한 인증서를 받게됩니다. – indiv
감사. "Muchas Gracias"라고합니다. :) –