我们被告知我们公司的WebOMNI系统(运行Windows 2008 IIS 7.0的负载均衡Web服务器)需要符合FIPS 140-2标准,因为其中包含一些CJIS数据。我们已经在该服务器中启用FIPS模式,并且该服务器使用Comodo RSA证书来加密流量。那么,我们如何确认哪些FIPS证书可覆盖我们的配置?如今已确定是证书1008(bcrypt.dll)或者1010(RSAENH),如何对其进行判断?
Michael Cobb:刑事司法信息服务(CJIS)是美国联邦调查局最大的部门,其数据库为美国各地的机构提供刑事司法信息资料库,这些信息包括生物特征、身份历史、财产和病例/事故历史数据,这些信息需得到最好的保护。为此,CJIS安全政策建立了最低安全要求和控制来保护刑事司法信息,涵盖无线网络、远程访问、数据加密和身份验证等领域。CJIS安全政策中的要求和控制严格响应NIST 800-53《为联邦信息系统和组织而推荐的隐私与安全控制》的要求,这也是联邦风险和授权管理计划的基础。
政府机构必须确保其系统和第三方系统(如用于传输、存储或处理刑事司法信息的云服务)符合CJIS安全政策。该安全政策的第5.10.1.2章节对静态或传输中的数据制定了严格且具体的联邦信息处理标准(FIPS)140-2加密标准:“当使用加密时,所使用的加密模块应符合FIPS 140-2标准。”
Windows操作系统有各种加密模块,并封装不同的加密算法,通过API调用可访问。我认为你们公司的服务器在运行Windows Server 2008 R2,而Windows Server 2008的支持已经过期。
微软的Cryptographic Primitives Library是基于软件的加密服务提供程序(BCRYPT.dll),已经通过FIPS 140-2认证,其增强加密提供程序(RSAENH.dll)也是同样,这些算法可通过Microsoft CryptoAPI访问。用户模式应用直接与BCRYPT连接,这是该使用的模块。
在Windows中启用FIPS模式会让其及其子系统仅使用符合FIPS的加密算法进行加密、散列和签名。例如,它不允许使用SSL 2.0以及3.0,因为它们不符合FIPS标准。然而,只是启用FIPS模式并不能确保系统符合CJIS安全政策。该操作系统或者验证加密模块并没有强制执行FIPS模式,这意味着没有检查FIPS模式相关注册表设置,且不依赖于任何Windows子系统的应用仍将继续正常运行,正如在FIPS模式禁用的系统一样,可能会使用不合规的加密算法。因此,最好运行使用经过认证加密模块的应用,同时,软件开发人员必须确保其应用会检查FIPS模式标志注册表设置并强制使用适当的算法。
本文转自d1net(转载)
