Esto es un poco difícil de adivinar, pero en la página 6 de Requisitos de prueba derivados para
FIPS PUB 140-2 , tenemos (énfasis mío):
Información requerida del proveedor
VE01.12.01: El proveedor proporcionará un certificado de validación para todos los algoritmos criptográficos aprobados .
VE01.12.02: El proveedor proporcionará una lista de todas las funciones de seguridad no aprobadas .
VE01.12.03: El proveedor proporcionará una lista de todos los métodos de seguridad afirmados por el proveedor .
VE01.12.04: La política de seguridad no patentada proporcionada por el proveedor incluirá una referencia a todos los métodos de seguridad afirmados por el proveedor.
Parece que, durante una certificación, están dividiendo las implementaciones de criptografía en 3 categorías:
-
Algoritmos criptográficos aprobados : implementaciones que ya han sido certificadas (que se utilizan internamente). Estos serán excluidos de la revisión.
-
funciones de seguridad no aprobadas : si realmente desea utilizar MD5 o twofish, o algún otro criptografía no FIPS, debe declararlo. Estos serán excluidos de la revisión.
-
métodos de seguridad afirmados por el proveedor : cosas que el proveedor afirma que cumplen con la especificación, pero que aún no han sido verificadas por el NIST. Es de suponer que esto es lo que está enviando para la prueba.
En cuanto a tu pregunta:
¿Puedo decir mi implementación de AES como proveedor afirmado y agregarla al certificado FIPS?
¡Por supuesto! Le invitamos a ejecutar su implementación de AES a través del CAVP y obtener la certificación FIPS (si se aprueba, por supuesto)