Сторонний Fips проверенный криптоалгоритм в проверенном криптографическом модуле Fips?

Question

Я собираюсь пройти процедуру проверки FIPS 140-2 моего программного модуля. Я изучил соответствующий материал, но я до сих пор не понимаю одну вещь: Могу ли я использовать сторонние одобренные FIPS одобренные алгоритмы в моем модуле с проверкой fips? или мне нужно написать собственную реализацию одобренных алгоритмов и получить их одобрение от NIST в первую очередь?

Я смущен, потому что; в Fips validation module list, большинство компаний имеют свои собственные проверенные алгоритмы в своем проверяемом модуле fips, что дает мне впечатление, что сначала нужно получить валидацию его собственной реализации алгоритма, а затем использовать его для проверки криптографического модуля. Это правильно?

Любая помощь будет оценена по достоинству.

Answer 1

Лаборатория сертификации FIPS не заботится о том, откуда пришел алгоритм, только то, что ваша реализация соответствует стандарту FIPS 140-2. Если ваша реализация соответствует, то вы получите для нее сертификат.

Например, если вы посмотрите на AES certification list, вы увидите, что многие используют реализацию AES OpenSSL. Аппаратные реализации, скорее всего, используют ядро ​​шифрования от поставщика, а не каждую организацию, повторно реализующую AES на оборудовании.

То, что вам нужно сделать, заключается в том, чтобы сторонняя реализация соответствовала стандарту FIPS 140-2. Таким образом, вам, возможно, придется писать собственные тесты и непрерывные самотестирования и так далее. Возможно, вам даже придется исправить ошибки в реализации, чтобы пройти сертификационные тесты. Например, реализация RSA OpenSSL до 0.9.7j/0.9.8b (с 2006 года) уязвима для Bleichenbacher RSA forgery attack, поэтому, если вы использовали эту старую реализацию RSA, вам придется ее исправить.

Чтобы быть понятным, ваша сторонняя реализация не обязательно должна была быть сертифицирована FIPS. Ваша лаборатория сертификации проверит ее как часть вашей реализации и подтвердит ее.