ソフトウェア モジュールの FIPS 140-2 検証プロセスを実行します。関連する資料を調べましたが、サードパーティの FIPS 検証済み承認済みアルゴリズムを fips 検証済みモジュールで使用できることが1 つあります。または、承認されたアルゴリズムの独自の実装を作成し、最初に NIST から承認を得る必要がありますか?
私は混乱しています。Fips 検証モジュール リストでは、ほとんどの企業がfips 検証済みモジュールに独自の検証済みアルゴリズムを持っているため、最初に独自のアルゴリズム実装の検証を取得してから、検証済みの暗号化モジュールで使用する必要があるという印象を受けます。これは正しいですか?
どんな助けでも大歓迎です。
FIPS 認定ラボは、アルゴリズムがどこから来たのかは気にせず、実装が FIPS 140-2 標準に準拠していることだけを気にします。実装が準拠している場合は、その証明書を取得します。
たとえば、AES 認定リストを見ると、多くの人が OpenSSL の AES 実装を使用していることがわかります。ハードウェアの実装では、各組織がハードウェアに AES を再実装するのではなく、ベンダーの暗号化コアを使用する可能性があります。
ただし、サードパーティの実装を FIPS 140-2 標準に準拠させる必要があります。そのため、パワーオン セルフ テストや連続セルフ テストなどを作成する必要がある場合があります。認証テストに合格するには、実装のバグを修正する必要さえあるかもしれません。たとえば、0.9.7j/0.9.8b (2006 年以降) までの OpenSSL の RSA 実装は、Bleichenbacher RSA 偽造攻撃に対して脆弱であるため、その古い RSA 実装を使用していた場合は、修正する必要があります。
明確にするために、サードパーティの実装は以前に FIPS 認定を受けている必要はありません。認定ラボは、実装の一部としてそれをテストし、その後認定します。