Что означает, что приложение соответствует требованиям FIPS 140?
Это так же просто, как использовать FIPS 140-совместимых поставщиков криптографии или есть что-то большее? Есть ли различия, если это веб-приложение против приложения Windows? Что если это распределенное приложение? Есть ли какие-то особые соображения относительно IIS, WCF, ASP.Net, Silverlight, AJAX и т. Д.?
Спасибо
2 ответа
FIPS - это серия стандартов, которым следует правительство США в отношении информационной безопасности. Существуют политики, практики и т. Д. Чтобы соответствовать требованиям, вы должны убедиться, что используете только определенные алгоритмы, используемое оборудование и программное обеспечение должны считаться совместимыми и т. Д.
Это так же просто, как использовать FIPS 140-совместимых поставщиков криптографии или есть что-то большее?
Это зависит от каждого конкретного сценария, но да, это может быть. Например, если определенные маршрутизаторы, которые вы используете, соответствуют требованиям 140-2, то ваше приложение за ними может получить освобождение от прохождения части процесса, поскольку используемое оборудование выполняет ту же задачу, которая требуется для сертификации. Например, мы используем F5 Big IP для обработки большого количества нашего SSL и т. Д., Потому что они прошли процесс сертификации. Наши другие системы могут делать то же самое, но это означает, что нам не нужно проходить процесс утверждения, который является долгим и болезненным.
http://en.wikipedia.org/wiki/FIPS_140
Я думаю, что это ссылки, которые говорят об аккредитации:
Это государственный стандарт для криптографически защищенных систем. Он определяет методы, политики, тесты и, в некоторых случаях, оборудование, которому должна соответствовать система, чтобы она считалась совместимой. Вы можете прочитать больше об этом на http://en.wikipedia.org/wiki/FIPS_140.
http://csrc.nist.gov/publications/PubsFIPS.html - хороший ресурс для общих спецификаций и требований FIPS.