"NSA Suite B" es una definición de algoritmos que deben implementarse para poder ... . reclamar soporte "Suite B". Es más directrices que cualquier otra cosa, dirigida a mejorar la interoperabilidad. Tener soporte para los algoritmos de Suite B puede ser un requisito para vender productos al Gobierno Federal de los Estados Unidos; sin embargo, en general, no hay ninguna regla que haga obligatoria la implementación de estos algoritmos, y ningún sistema de certificación que garantice formalmente que usted haya implementado estos algoritmos correctamente.
FIPS 140-2 es una definición formal de los requisitos de seguridad para los módulos criptográficos; define "niveles". Para reclamar un nivel, no solo tiene que hacer todo lo especificado en FIPS 140-2 para ese nivel, sino que también debe realizar una auditoría exhaustiva que verifique sus reclamos. Los algoritmos implementados son solo una pequeña parte de FIPS 140-2; también abarca cosas como el blindaje físico y la verificación de antecedentes de los desarrolladores. Para los algoritmos, hay una lista de algoritmos aprobados ; FIPS 140-2 simplemente ignora los algoritmos que están fuera de esa lista (su módulo puede implementarlos, pero están fuera del alcance).
Dado que el gobierno de los EE. UU. no ha caído (aún) en el Absurdity Circle of Hell, los algoritmos "suite B" son un subconjunto de los algoritmos cubiertos por FIPS 140-2.
En cuanto a OpenSSL :
- Implementa muchos algoritmos criptográficos, incluidos los algoritmos "Suite B", pero también muchos otros.
- OpenSSL no está, por sí solo, certificado para cumplir con ningún nivel de FIPS 140-2, pero incluye un "módulo" que ha obtenido algún sello oficial en algún momento, sujeto a algunas condiciones, que se explican here y hay .
Conclusión: cualquiera puede reclamar el soporte de "Suite B"; eso es sólo una reclamación. Una certificación FIPS 140-2 para algún nivel es considerablemente más formal, costosa y restrictiva. El cumplimiento de los niveles de FIPS 140-2 a menudo se acumula en las grandes organizaciones como requisitos; p.ej. Si desea crear y operar una PKI que cumpla con WebTrust (y sea declarada como tal por una firma de auditoría independiente), entonces mantenga CA Las claves en Módulos de seguridad de hardware que han sido certificados FIPS 140-2 nivel 3 serán de gran ayuda.