微软视窗SChannel SSPI自检？

Question

该问题与某些规范(FIPS)有关，这些规范要求用于TLS的SChannel模块在使用前执行自检，以验证它们未被破坏。FIPS就是一个例子。在开源库中有内置的自检。SChannel有这个能力吗？我找不到任何关于这一点的参考，但似乎奇怪的是，这会被省略。

我希望这会使问题变得不那么模糊和模棱两可。我相信这个问题可以由对SChannel应用编程接口有深入了解的人合理地回答。

补充:我对FIPS级别1，当然还有级别2的理解是，算法的操作需要在运行时(自检)进行验证，而不仅仅是在最初认证的时候。此外，内存中的图像需要使用散列或类似的方法进行验证，以确保它没有被更改。

如果这些事情不是在运行时完成的，那么补丁库的可能性就存在了，不是吗？

Answer 1

FIPS认证适用于给定操作系统配置上的给定密码套件。认证会给你一个级别a，它会给你一个级别，1是你在常规硬件上能达到的最高级别，但在安全方面是最低级别。

现在回到你的问题..。

从cipher suites used SChannel开始，我们可以一直工作到FIPS certificate from this page。

根据the PDF scan of the FIPS certificate (针对Windows7旗舰版)或the 1337 certificate of Windows Server 2008 R2 64bits的说法，你可以在他们的第二个页面上看到，自测试被认证为1级。

因此，是的，SChannel确实具有自测试功能，因为它利用了较低组件的自测试功能。但是，如果将一些负担转移到您身上，以验证您的软件在经过认证的环境中只使用经过认证的组件。