我要对我的软件模块进行FIPS 140-2验证过程。我已经研究了相关材料,但我仍然不清楚一件事,即我可以在我的FIPS验证模块中使用第三方FIPS验证的批准算法吗?或者我需要自己编写已批准算法的实现并首先获得NIST的批准吗?
我很困惑,因为;在Fips验证模块列表中,大多数公司在其Fips验证模块中都有自己的验证算法,这给我的印象是必须首先获得自己的算法实现的验证,然后将其用于验证加密模块。这样对吗?
任何帮助都会很感激。
FIPS认证实验室不关心算法来自哪里,只关心您的实现符合FIPS 140-2标准。如果您的实现符合要求,那么您将获得它的证书。
例如,如果您查看AES认证列表,您将看到许多人使用OpenSSL的AES实现。硬件实现可能使用来自供应商的加密核心,而不是每个组织在硬件中重新实现AES。
你必须做的是使第三方实现符合FIPS 140-2标准。所以你可能需要编写开机自检和连续自检等等。您甚至可能需要修复实现中的错误,以使其通过认证测试。例如,OpenSSL的RSA实现0.9.7j/0.9.8b(从2006年开始)很容易受到Bleichenbacher RSA伪造攻击,所以如果你使用的是旧的RSA实现,你必须修复它。
需要明确的是,您的第三方实现不必事先通过FIPS认证。您的认证实验室将测试它作为您实施的一部分,然后对其进行认证。