【问题标题】:Microsoft Windows SChannel SSPI Self test?Microsoft Windows SChannel SSPI 自检?
【发布时间】:2012-01-28 08:07:41
【问题描述】:

该问题与一些规范 (FIPS) 有关,这些规范要求用​​于 TLS 的 SChannel 模块在使用之前执行自检以验证它们没有受到损害。 FIPS 就是一个例子。在开源库中内置了自测。SChannel有这个能力吗? 我找不到任何对此的参考,但似乎很奇怪,这会被忽略。

我希望这可以使问题不那么含糊不清。我相信这是一个对 SChannel API 有深入了解的人可以合理回答的问题。

添加: 我对 FIPS 1 级和第 2 级的理解是,算法的操作需要在运行时(自检)进行验证,而不仅仅是在最初获得认证时。此外,内存中的图像需要使用哈希或类似的方法进行验证,以确保它没有被更改。

如果这些事情没有在运行时完成,是否存在修补库的可能性?

【问题讨论】:

    标签: c++ ssl sspi schannel


    【解决方案1】:

    在给定操作系统配置上的给定密码套件已获得 FIPS 认证。认证会给您一个级别 a 它会给您一个级别,1 是您在常规硬件上可以达到的最高级别,但安全级别最低。

    现在回到你的问题...

    cipher suites used SChannel 开始,我们可以一直到FIPS certificate from this page

    根据the PDF scan of the FIPS certificate(适用于Windows 7 Ultimate)或the 1337 certificate of Windows Server 2008 R2 64bits,您会在他们的第二页上看到自测已通过1 级认证。

    是的,SChannel 确实具有自检功能,因为它利用了较低组件的自检功能。但是,如果将一些负担转移给您,以验证您的软件是否在经过认证的环境中仅使用经过认证的组件。

    【讨论】:

    • “1 是您在常规硬件上可以达到的最高值”您有链接了解此评分的工作原理吗?
    • 我没有那个链接。我想您可以在常规硬件上达到 2 级,但认证不是免费的。您为 2 级服务器支付的保费可能会将其从“常规”类别中删除。来自csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf“安全级别 2 通过添加防篡改要求增强了安全级别 1 加密模块的物理安全机制,其中包括使用防篡改涂层或密封件或可拆卸盖板上的防撬锁或模块的门。”
    猜你喜欢
    • 1970-01-01
    • 2020-07-28
    • 1970-01-01
    • 2021-07-31
    • 2019-10-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多