FIPS 140-2 permite que los algoritmos aprobados por FIPS sean probados por CAVP o sean confirmados por el proveedor. ¿Qué implica aquí el "vendedor afirmado"? ¿Puedo decir que mi implementación de AES como proveedor lo confirmó y agregarla al certificado FIPS?
Esto es un poco difícil de adivinar, pero en la página 6 de Requisitos de prueba derivados para FIPS PUB 140-2 , tenemos (énfasis mío):
Información requerida del proveedor
VE01.12.01: El proveedor proporcionará un certificado de validación para todos los algoritmos criptográficos aprobados .
VE01.12.02: El proveedor proporcionará una lista de todas las funciones de seguridad no aprobadas .
VE01.12.03: El proveedor proporcionará una lista de todos los métodos de seguridad afirmados por el proveedor .
VE01.12.04: La política de seguridad no patentada proporcionada por el proveedor incluirá una referencia a todos los métodos de seguridad afirmados por el proveedor.
Parece que, durante una certificación, están dividiendo las implementaciones de criptografía en 3 categorías:
En cuanto a tu pregunta:
¿Puedo decir mi implementación de AES como proveedor afirmado y agregarla al certificado FIPS?
¡Por supuesto! Le invitamos a ejecutar su implementación de AES a través del CAVP y obtener la certificación FIPS (si se aprueba, por supuesto)
Lea otras preguntas en las etiquetas audit terminology nist certification fips