Соответствие FIPS и BouncyCastle

Я хочу знать, соответствует ли мое приложение для Android FIPS 140-2, если оно использует только предоставленные алгоритмы шифрования здесь? Я использую SpongyCastle для реализации этих алгоритмов.

Изменить: общий вопрос: можно ли использовать библиотеки с открытым исходным кодом, такие как BouncyCastle/SpongyCastle, в модуле, который может быть сертифицирован FIPS?


android fips bouncycastle cryptography
person MediumOne    schedule 04.01.2013    source источник

Ответы (1)


arrow_upward
5
arrow_downward

Bouncy Castle не имеет сертификата FIPS 140-2, поэтому SpongyCastle не сертифицирован. Mocana NanoCrypto имеет сертификат FIPS 140-2 для нескольких конкретных комбинаций ОС Android/оборудования.

Вообще говоря, сертификация FIPS 140-2 требует довольно много денег, поэтому не ожидайте, что библиотека с открытым исходным кодом (кроме OpenSSL) будет сертифицирована FIPS.

person Peter Elliott    schedule 04.01.2013
comment
Тем не менее, сертифицированный не обязательно совпадает с совместимым. Я верю, что SpongyCastle соответствует требованиям, хотя это может быть и не навсегда. - person mfrankli; 04.01.2013
comment
Это не правда. соответствие FIPS 140-2 требует независимой сертификации программного пакета. BouncyCastle не прошел эту сертификацию. проверьте этот пост на StackExchange, явно называет BouncyCastle не сертифицированным по FIPS 140-2. - person Peter Elliott; 04.01.2013
comment
Предположим, что я создаю криптографическую библиотеку Java, которая, в свою очередь, использует BouncyCastle для использования в моем приложении. Могу ли я получить для этой библиотеки сертификацию FIPS 140-2 даже за деньги, которые требуются? - person MediumOne; 04.01.2013
comment
@MediumOne: нет внутренней причины, по которой библиотека с открытым исходным кодом не может быть сертифицирована по FIPS 140-2. Это вопрос соблюдения спецификации FIPS 140-2 и оплаты успешной оценки. - person President James K. Polk; 04.01.2013
comment
От OpenSSL Новые проверки FIPS 140-2 (любого типа) медленные (обычно 6-12 месяцев), дорогие (вероятно, 50 000 долларов США типичны для несложной проверки) и непредсказуемы (даты завершения не только неопределенны при первом запуске валидации, но оставайтесь таковыми во время процесса). Являясь автором продукта, сертифицированного по общим критериям, могу сказать, что 50 000 — это довольно дешево и вряд ли включает в себя затраты на него человеко-часов. - person Maarten Bodewes; 05.01.2013