Сертификация FIPS 140-2 уровня 1

У меня есть собственное устройство Android. Мне необходимо защитить хранимые данные с помощью криптографического модуля, сертифицированного FIPS (140-2 уровень 1). У меня есть несколько вопросов

  1. Существует ли такой криптографический модуль с открытым исходным кодом?
  2. При сохранении данных в sql-lite мое пользовательское приложение будет использовать сертифицированный криптографический модуль. Что произойдет, если пользователь загрузит какое-то приложение, которое не использует сертифицированный криптографический модуль для хранения данных.
  3. Есть ли приблизительные оценки стоимости и времени для сертификации криптографического модуля? Могу ли я начать процесс сертификации напрямую в любой из этих лабораторий (http://csrc.nist.gov/groups/STM/testing_labs/index.html) или мне нужно это сделать через стороннюю организацию?

TIA


fips
person bostonjava    schedule 05.12.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

  1. OpenSSL сертифицирован FIPS. Но если вы проходите сертификацию FIPS на своем устройстве, вы можете использовать любую криптографическую библиотеку, которую хотите. В процессе сертификации вы пройдете тестирование алгоритмов криптографической библиотеки, что позволит сертифицировать библиотеку для вашего устройства. Возможно, вам придется изменить библиотеку, чтобы сделать ее совместимой с FIPS, даже если вы используете OpenSSL.

  2. Тогда это вина пользователя, а не ваша. Вы опубликуете в своей политике общественной безопасности, что ваше устройство соответствует требованиям FIPS, если пользователь использует только сертифицированные FIPS компоненты.

  3. $ 40 000 +. Вам не нужен сторонний поставщик, но он полезен, если вы никогда этого не делали раньше, и он также ответит вам на подобные вопросы. Добавьте еще 40000 долларов США для третьей стороны. Ожидайте минимум 6 месяцев, и это будет после алгоритма и функционального тестирования вашего модуля.

person indiv    schedule 20.01.2013