eCryptFSおよびFIPS 140-2

eCryptFSおよびFIPS 140-2

eCryptFS暗号化がFIPS 140-2に準拠しているかどうかに関する情報をここで検索しました。他のファイルシステムやブロック暗号化に関する情報が見つかりましたFIPS準拠 私はeCryptFSがOpen SSLをキーとして使用しているため、OpenSSL FIPSオブジェクトモジュールへの正しい呼び出しを実装することで、この部分をFIPSに準拠させることができると思います。

ただし、eCryptFSで暗号化がどのように実装されているか、およびFIPS準拠についてさらに知る必要があるかどうかは不明です。

答え1

しかし、暗号化されたファイルシステム積極的に維持モデル/Ubuntuエンジニアとデザインは暗号的に健全であり、eCryptFSは正式に評価されていません。FIPS 140-2認証またはコンプライアンスが達成される可能性が低いです。

完全に公開:私はそれらの一つですeCryptFSの作成者およびメンテナンス者

答え2

FIPS 140は特定の製品に適用されます。暗号化ライブラリの検証は、それを使用する製品を検証せず、製品の検証によってそのコンポーネントの検証も行いません。

FIPS 140レベル1コンプライアンスは、実際のセキュリティ認証ではなく、基本的に機能認証です。 FIPS 140レベル1を満たすには、主に以下が必要です(製品がFIPSモードで実行されている場合)。

  • 承認された暗号化アルゴリズムのみを使用してください。
  • アルゴリズムがテストベクトルで動作することを証明します。
  • システムの起動時にいくつかのテストを実行します。
  • 使用後はキーを消去してください。
  • 正式な認証手続きがあります。

FIPS 140 レベル 2 以降には、実際のセキュリティ要件があります。

OpenSSLにFIPS 140レベル1認証があるという事実は、誰かがテストとキーの削除を実行する必要があるため、OpenSSLを使用する製品を認証するのにのみ役立ちます。 FIPS 140 レベル 1 の場合、ジョブはほぼ形式的な手順に過ぎません。

いずれにせよ、ecryptfsはOpenSSLを使用しないため、OpenSSLで実行された操作は不適切です。 EcryptfsはLinuxカーネルに実装されています。すでにFIPS 140レベル1認証カーネル設定があります。これにEcryptfsの使用が含まれているかどうか覚えていません(確かにdmcryptです)。

関連情報