fips - FIPS 140-2 レベル 1 認定

Question

カスタム Android デバイスがあります。FIPS 認定 (140-2 レベル 1) 暗号化モジュールを使用して保存データを保護する必要があります。いくつか質問があります

1. そのような暗号化モジュールがオープンソースに存在する場合?
2. sql-lite にデータを保存している間、カスタム アプリケーションは認定された暗号化モジュールを使用します。ユーザーが認定済みの暗号化モジュールを使用しないアプリケーションをダウンロードしてデータを保存するとどうなりますか。
3. 暗号化モジュールの認定を受けるための概算費用と時間の見積もりはありますか? これらのラボ (http://csrc.nist.gov/groups/STM/testing_labs/index.html) のいずれかで認定プロセスを直接開始できますか、それともサードパーティを通じて行う必要がありますか?

ティア

Answer 1

1. OpenSSL は FIPS 認定を受けています。ただし、デバイスで FIPS 認定を受けている場合は、必要な暗号ライブラリを使用できます。認定プロセス中に、暗号化ライブラリのアルゴリズムに関するアルゴリズム テストが行​​われ、デバイスのライブラリが認定されます。OpenSSL を使用している場合でも、FIPS 準拠にするためにライブラリを変更する必要がある場合があります。

2. それはあなたのせいではなく、ユーザーのせいです。ユーザーが FIPS 認定のコンポーネントのみを使用している場合、デバイスが FIPS に準拠していることを公安ポリシーで公開します。

3. 40,000ドル以上。サードパーティは必要ありませんが、これまでに行ったことがない場合は役に立ちます。サードパーティは、このような質問にも答えてくれます。サードパーティにさらに $40,000+ を追加します。最低 6 か月かかると予想してください。これは、モジュールのアルゴリズムおよび機能テストの後です。