一部のベンダーは、「FIPS 140-2準拠のアルゴリズムと暗号」を使用している製品を宣伝しているようです。ただし、これらの製品の一部は、検証済みの暗号化モジュールをリストするNIST Webサイトにはありません。これは、製品を使用したい顧客にとって本当に何を意味しますか?
製品の標準化された「FIPS 140-2準拠アルゴリズムと暗号」の使用は、政府機関または請負業者の要件を満たすのに十分ですか?あるいは、政府のデータ保護要件を満たすために、製品は実際にNISTによって検証される必要がありますか?
答えはこの引用された段落( Module Validation Lists )から直接得られると思います-私は重要なことを太字で強調しています:
製品または実装がnot FIPS 140-1またはFIPS 140-2の適用要件を満たしている単純に実装する承認済みセキュリティ機能とアルゴリズム検証証明書の取得。 FIPS 140-1またはFIPS 140-2に対してテストおよび検証されたモジュールのみが、機密情報を保護するための暗号化モジュールの適用要件を満たしています。
はどうかと言うと:
これは、製品を使用したい顧客にとって本当に何を意味しますか?
NISTは助言します:
連邦政府機関のユーザーは、FIPS 140-1およびFIPS 140-2検証リストを参照することをお勧めします
検証リスト 。
ここで注意深く読む必要があります。
認定は費用と時間がかかるプロセスであり、変更後に再実行する必要があるため、企業は「準拠」ルートを採用します。
FISMAや特定のRFI/RFPなどには、認定されたモジュール/ハードウェアなどに関する要件が記載されており、レビュー時にはNIST証明書番号が必要になるため、要件を注意深く読み、要件をベンダーに送信するときは、要件に準拠するかどうかを明確にしてください。認定製品。
編集-また、製品の正しいバージョンを確認していることも確認してください。 FIPS認定は特定のコードセットに適用されます。通常、OS設定などの運用要件も存在するため、用語は「FIPS 140-2認定モード」と呼ばれることがあります。
したがって、FooLock 1.0は認定されている可能性がありますが、FooLock 1.1は認定されていません。同じソースコードであるにもかかわらず、別のMS .NET CLRを使用しているためです。
FooLockの発行者は、FooLock 1.1はFIPS 準拠であるため、暗号モジュールは「同じコード」ですが、認定されていません。サウスパークが言うように、認定製品を必要とするソリューションにはFooLock 1.1を使用します。