第三方Fips验证密码算法在Fips验证密码模块？

Question

我将对我的软件模块进行FIPS 140-2验证.我已经研究过相关的材料，但我仍然不清楚，可以在我的FIPS验证模块中使用第三方fips验证算法吗？还是需要自己编写已批准算法的实现，并首先从NIST获得批准？

我感到困惑是因为，在Fips验证模块列表中，大多数公司在其fips验证模块中都有自己的验证算法，这给我的印象是，首先要对自己的算法实现进行验证，然后再将其用于验证密码模块。是这样的吗？

任何帮助都将不胜感激。

Answer 1

FIPS认证实验室并不关心算法来自何处，只关心您的实现是否符合FIPS 140-2标准。如果您的实现符合，那么您将得到一个证书。

例如，如果您查看AES认证列表，您将看到许多人使用OpenSSL的AES实现。硬件实现可能使用来自供应商的加密核心，而不是每个组织在硬件中重新实现AES。

但是，您必须做的是使第三方实现符合FIPS 140-2标准。因此，你可能不得不写电源的自我测试和持续的自我测试，等等。您甚至可能必须修复实现中的错误，以使其通过认证测试。例如，OpenSSL的RSA实现高达0.9.7j/0.9.8b (从2006年起)易受Bleichenbacher伪造攻击攻击，因此如果您使用的是旧的RSA实现，则必须修复它。

要明确的是，您的第三方实现不必事先通过FIPS认证.您的认证实验室将测试它作为您的实现的一部分，然后认证它。