Cómo aplicar FIPS a la base de datos de Microsoft Access con VBA personalizado

3

Como ingeniero de software en un proyecto, me pidieron que hiciera una aplicación de Microsoft Access, con interfaces personalizadas que ejecutan VBA personalizado. Esa parte va bien. Aunque recientemente se me pidió que me asegurara de que mi aplicación de Access cumple con FIPS 140-2. La implementación y el mantenimiento de esta aplicación serán manejados por otra compañía asociada, ellos son los que solicitan el cumplimiento de las normas FIPS.

He leído la documentación para FIPS 140-2 y entiendo su propósito . El cumplimiento de FIPS de nivel 1 es todo lo que se requiere en nuestra situación. He escrito un módulo en VBA para procesar las contraseñas con SHA-1 utilizado para iniciar sesión en la aplicación. SHA-1 está en la lista de algoritmos aprobados por FIPS 140-2.

Mi pregunta es, ¿qué más tiene que hacer un desarrollador de software para garantizar el cumplimiento de FIPS 140-2, y qué tanto cae en los hombros del contratista que implementa la aplicación en sus sistemas?

La aplicación de Access está dividida, por lo que el archivo de back-end vivirá en un recurso compartido de red y los usuarios normales solo tendrán acceso al archivo de front-end. Supongo que tanto los archivos de back-end como los de front-end podrían estar cifrados, pero eso parece ser parte del proceso de implementación.

    
pregunta Justin C 13.03.2011 - 16:40
fuente

1 respuesta

7

Como desarrollador de software, debe asegurarse de que no solo el estándar de cifrado elegido sea compatible con FIPS, sino también el módulo criptográfico utilizado. AES, por ejemplo, tiene FIPS 140-2 aprobado como método, pero la implementación real del algoritmo Rijndael en Windows Server 2008 [no R2] no está aprobada (y, por lo tanto, no es compatible con FIPS ... tendría que usar 3DES o otra cosa).

Para completar, la lista completa de módulos validados está disponible aquí: enlace

Para garantizar el cumplimiento de FIPS, también querrá que el sistema en el que se está ejecutando aplique FIPS. En un sistema de Windows esto está bajo la siguiente clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy

Cambie el valor DWORD de ENABLED a 1. Como desarrollador, querrá probar en este modo.

Asegurarse de que los canales de comunicación y el servidor / estación de trabajo / etc. la ejecución de la aplicación es compatible con FIPS formará parte del proceso de implementación, donde hay poco que pueda hacer si un contratista independiente está trabajando en la instalación.

    
respondido por el iivel 14.03.2011 - 14:48
fuente

Lea otras preguntas en las etiquetas