現在、OpenPGP メッセージを生成するアプリケーションを FIPS 140-2 に準拠するようにアップグレードしています。現在、BouncyCastle とその OpenPGP プロバイダーを使用して承認されたアルゴリズムである RSA/AES-256 暗号化を使用する PGP メッセージを生成します。FIPS 140-2 検証ではないため、BouncyCastly を使用できなくなったため、RSA の BSAFE ライブラリを調べています。
このライブラリには、OpenPGP メッセージを直接生成できる高レベルの抽象化がありません。OpenPGP メッセージを生成できる既存の JCE プロバイダー (私の BSAFE ライブラリなど) を使用できるライブラリを知っている人はいますか? OpenPGP 仕様を自分で実装する必要はありません。かなり時間がかかるように思われるためです。または、暗号化されたファイルをフォーマットする他の方法についての提案はありますか?
ご意見をお寄せいただきありがとうございます。
FIPS 140-2は、SSL、PGP、S / MIME、SSHなどのプロトコルには適用されません。これらは、RSAやAESなどの暗号化アルゴリズムを使用するセキュリティプロトコルです。(ただし、商用の暗号ベンダーはこの違いを指摘する可能性は低いです)。
FIPS 140-2には、承認されたアルゴリズムがリストされています。また、これらのアルゴリズムを実装する「暗号化モジュール」のテスト基準も指定します。しかし、これらのアルゴリズムの適用については何も述べていません。
したがって、BouncyCastleのPGPプロバイダーを使用できます。Bouncy Castleを暗号プロバイダーとしてインストールする代わりに、FIPS140-2認定の実装をインストールします。Bouncy CastleのPGPは、基盤となる暗号化アルゴリズムに優先暗号化プロバイダーを使用します。S/MIMEサポートも同じように使用できます。
多くの調査の結果、OpenPGPフォーマットを自分で実装せずにこれを行う方法はないようです。ただし、暗号化メッセージ構文は適切な代替手段のようです。
S/MIME (Cryptographic Message Syntax) と OpenPGP には大きな違いがあります。
http://mozilla-enigmail.org/forum/viewtopic.php?t=67
主に、S/MIME は証明書 (証明機関を使用する必要があり、1024 ビットに制限され、1 年後に有効期限が切れる) に関してキーを交換しますが、OpenPGP は PGP キー (ピアツーピアで交換するか、無料の鍵サーバーをホストするか、独自の鍵サーバーをホストします)。