我的软件能获得FIPS 140-2认证吗？

Question

我正在研究FIPS 140-2认证的早期阶段，但我遇到了一些困惑。首先，我们的软件是用Java编写的，实际上并不进行任何加密/解密，目前这是由BouncyCastle库完成的，并且希望当BouncyCastle成为FIPS认证后，我们的产品也可以成为FIPS认证的。

我遇到的问题就在第一行，也就是FIPS 140-2定义的密码模块，它指出：

密码模块应是一组硬件、软件、固件或其中的某种组合，实现加密功能或进程，包括密码算法和可选的密钥生成，并且包含在定义的加密边界内。

由于我们的软件实际上没有实现任何这些算法，我们只是使用一个服务提供商，这是否意味着我们的产品不能得到认证？我们被困在FIPS投诉区了吗？如果我们的软件能够获得FIPS 140-2认证，那么测试实验室实际上会看到什么，因为我们的软件不进行任何处理？

我已经通过了许多FIPS 140-2认证的项目，似乎我的担心可能是真的。大多数通过认证的东西都是私有密码库，它们被更大的软件项目使用，比如Windows 8密码内核和Symantic密码库。

Answer 1

不幸的是，我对FIPS 140-2标准的理解与你的恐惧是一致的.

据我所知，FIPS 140-2标准旨在证明您以负责任的方式处理私钥。如果您的软件允许Bouncy城堡触摸私钥，那么即使您编写了世界上最安全的软件，您的总体产品也只能与Bouncy城堡一样安全：