Как соответствовать FIPS 140-2 путем создания исходного кода для Android L

Question

Как соответствовать FIPS 140-2 путем создания исходного кода для Android L

Мы работаем над приложением Android L, которое предназначено для использования проверенной криптографии FIPS 140-2.

Насколько мне известно, в Adroid есть библиотека FIPS, но она еще не подтверждена. (После компиляции, есть libssl.so и libcrypto.so в out/system/lib/)

Как настроить envsetup.sh или сделать файл или исходный файл для создания libssl.so и libcrypto.so, чтобы соответствовать требованию FIPS 140-2?

Благодарю.

1

android openssl android-ndk fips

Источник

user1258436 21 июл '15 в 10:00

1 ответ

Решение

Другие вопросы по тегам android openssl android-ndk fips

user608639 22 июл '15 в 05:05 2015-07-22 05:05 · Accepted Answer · 2015-07-22 05:05

Как соответствовать FIPS 140-2 путем создания исходного кода для Android L

Android L - это операционная среда (ОЕ) в терминологии FIPS. Если посмотреть на Политику безопасности OpenSSL FIPS 2.0, Таблица 2, стр. 10-12, OE не было проверено в соответствии с Сертификатом 1747. Таким образом, краткий ответ: вы не можете.

Более длинный ответ: вы можете связаться с OpenSSL Foundation, и, возможно, получить письмо об изменении или подтверждение собственной метки. Он может основываться на кратком ответе " Ты не можешь ", превратив его в " Ты можешь ", используя сертификат 1747 в качестве отправной точки и затем выполнив дополнительные требования бюрократии.

Очень длинный ответ: вы не можете, потому что CMVP недавно изменил некоторые правила. CMVP хотел, чтобы изменение правила применялось задним числом к существующим - уже утвержденным - валидациям. Если OpenSSL не согласится, то CMVP не утвердит письма о будущих изменениях и частные проверки на основании сертификата 1747.

OpenSSL не согласилась, потому что она применялась задним числом к существующим валидациям (фактически, она не валидировала выход из валидаций), и это было несправедливо по отношению к людям, которые финансировали эти валидации. CMVP ответил, отозвав ряд предыдущих проверок в соответствии с сертификатом 1747.

Если вы следили за этим событием, это является ядром проблемы FIPS 140-2 "Заложник". Мне сообщили, что крупное новостное издание с отчетами о расследованиях готовится опубликовать статью о действиях CMVP и о том, как это наносит ущерб программному обеспечению с открытым исходным кодом, пользователям Интернета и федеральным агентствам США. Это должно быть похоже на статью правительства США: платить, чтобы подорвать безопасность Интернета, а не исправлять ее.

Если у вас есть утвержденная рабочая среда, есть два связанных ресурса: Библиотека FIPS и Android и OpenSSL и Android. OpenSSL предоставляет их через свою вики.

Если вам нужна дополнительная информация или руководство по дальнейшим действиям, обратитесь к Стиву Маркису из Фонда OpenSSL.