我打算使用我的软件模块的FIPS 140-2验证过程。我已经研究了相关的材料但是我还不清楚我可以在我的fips验证模块中使用第三方FIPS验证的批准算法吗?或者我是否需要编写自己的实现批准的算法并首先获得NIST的批准?
我很困惑,因为;在Fips validation module list中,大多数公司在其fips验证模块中都有自己的验证算法,这让我觉得必须先验证自己的算法实现,然后再使用它来验证加密模块。这是对的吗?
任何帮助将不胜感激。
答案 0 :(得分:0)
FIPS认证实验室并不关心算法的来源,只是您的实施符合FIPS 140-2标准。如果您的实施符合要求,那么您将获得证书。
例如,如果查看AES certification list,您会发现许多人使用OpenSSL的AES实现。硬件实现可能使用来自供应商的加密核心,而不是每个组织在硬件中重新实施AES。
您需要做的是使第三方实现符合FIPS 140-2标准。因此,您可能必须编写开机自检和连续自检等。您甚至可能必须修复实现中的错误,以使其通过认证测试。例如,OpenSSL的RSA实现高达0.9.7j / 0.9.8b(从2006年开始)容易受到Bleichenbacher RSA forgery attack的攻击,所以如果您使用的是旧的RSA实现,则必须修复它。
需要明确的是,您的第三方实施不必经过FIPS认证。您的认证实验室将在实施过程中对其进行测试,然后对其进行认证。