3

この質問は、TLS に使用される SChannel モジュールが侵害されていないことを検証するために、使用前に自己テストを実行することを要求する一部の仕様 (FIPS) に関するものです。FIPS はその一例です。オープン ソース ライブラリにはセルフ テストが組み込まれています。SChannel にはこの機能がありますか? これについての言及を見つけることはできませんが、これが除外されるのは奇妙に思えます。

質問が曖昧で曖昧でなくなることを願っています。これは、SChannel API について深い知識を持っている人が合理的に答えることができる質問だと思います。

追加: FIPS レベル 1 とレベル 2 についての私の理解では、アルゴリズムの動作は、最初に認定されたときだけでなく、実行時 (セルフ テスト) にも検証する必要があるということです。さらに、メモリ内のイメージをハッシュなどで検証して、変更されていないことを確認する必要があります。

これらが実行時に実行されない場合、ライブラリにパッチが適用される可能性はありませんか?

4

1 に答える 1

2

FIPS 認定は、特定の OS 構成の特定の暗号スイートに対して達成されます。認定によりレベル a が与えられます。レベル 1 は通常のハードウェアで達成できる最高レベルですが、セキュリティに関しては最低レベルです。

さて、あなたの質問に戻ります...

SChannel を使用する暗号スイートから始めて、このページから FIPS 証明書まで作業できます。

FIPS 証明書(Windows 7 Ultimate の場合) またはWindows Server 2008 R2 64 ビットの 1337 証明書の PDF スキャンによると、2 ページ目にセルフテストがレベル 1 で認定されていることがわかります。

そうです、SChannel は下位コンポーネントのセルフテスト機能を利用するため、セルフテスト機能を備えています。ただし、ソフトウェアが認定済みの環境で認定済みのコンポーネントのみを使用していることを検証する負担が一部軽減される場合。

于 2012-02-13T03:40:33.487 に答える