eCryptFS和FIPS 140-2

Question

我到处搜索关于eCryptFS加密是否符合FIPS140-2的信息。我已经找到了关于其他文件系统或块加密的信息，并且它们的FIPS遵从性我认为，由于eCryptFS使用OpenSSL作为密钥，所以可能通过实现对OpenSSL对象模块的正确调用，使其FIPS部分兼容。

但是，我不清楚密码是如何在eCryptFS中实现的，以及是否需要更多关于FIPS遵从性的信息。

Answer 1

虽然eCryptFS是由规范的/Ubuntu工程师积极维护的，而且该设计在密码上是合理的，但eCryptFS从未被正式评估过FIPS 140-2认证或遵从性，而且不太可能是这样。

完全披露:我是eCryptFS的作者和维护者的一员。

Answer 2

FIPS 140适用于特定产品。验证密码库不会使产品使用它进行验证，验证产品也不会使其组件得到验证。

FIPS 140的1级遵从性并不是真正的安全认证，它主要是一种功能认证。要满足FIPS 140级别1，您主要需要(当产品以FIPS模式运行时)：

• 仅使用已批准的加密算法。
• 证明了该算法适用于测试向量。
• 在系统启动时运行一些测试。
• 若要在使用后删除键，请执行以下操作。
• 通过正式的认证程序。

FIPS 140 2级及以上有实际的安全要求。

事实上，OpenSSL拥有FIPS 140级别1认证，这只有助于验证使用OpenSSL的产品，因为必须有人实现了测试和密钥擦除。对于FIPS 140级别1，这项工作几乎只是繁文缛节。

在任何情况下，氪星不使用OpenSSL，所以在OpenSSL上所做的工作是无关紧要的。Ecryptfs是在Linux内核中实现的。已经有一些内核配置被认证为FIPS 140级别1，我不记得这是否包括Ecryptfs (dmcrypt )的使用。