¿Qué cubre un certificado de validación FIPS? ¿Sólo la versión de software o el sistema operativo y el hardware también?

2

Tal como lo entiendo, si quiere ser compatible con FIPS, tiene que usar componentes certificados por FIPS. Mi pregunta es qué tan diferente puede ser su uso del componente de lo que está en el certificado de validación del componente para que usted todavía esté utilizando un componente certificado por FIPS.

Por ejemplo, aquí hay un certificado de validación para NSS: enlace

El certificado dice que la versión del software NSS es 3.12.4 y se probó en RHELv5 en un IBM System x3550 y en un HP ProLiant DL 145.

Supongo (?) que definitivamente necesito usar la versión NSS 3.12.4 ya que esa es la versión que dice el certificado que fue validada. (Por el momento, estoy ignorando la posible existencia de versiones posteriores certificadas de NSS. Supongamos que esta es la última, si no lo es).

¿Pero qué pasa con el sistema operativo y el hardware del servidor? Si ejecuto NSS 3.12.4 en una instalación de Ubuntu, ¿todavía se considera que estoy usando un componente certificado por FIPS? ¿Qué sucede si lo ejecuto en RHELv5 pero en un hardware diferente al que se mencionó en el certificado de validación?

Actualizar:

Intentaré ser más claro / más explícito ...

¿NSS 3.12.4 se considera validado / certificado cuando se ejecuta en cualquier sistema operativo o solo cuando se ejecuta en RHELv5? ¿Y cómo se determina la respuesta a esa pregunta?

    
pregunta QuantumMechanic 12.02.2015 - 22:18
fuente

1 respuesta

2

Certificaron solo el módulo descrito en el documento. No certificaron que ProLiant era compatible con FIPS, y no certificaron que el sistema operativo de Red Hat cumpliera con FIPS. Resultó ser la máquina y el entorno que utilizaron cuando probaron el cumplimiento del módulo.

Según el párrafo 10 de FIPS 140-2, permiten la certificación de un módulo de hardware, un módulo de software o una combinación de ambos. Depende del proveedor del sistema de seguridad lo que solicitan certificar. Pero lo único que realmente está certificado es lo que escriben en el certificado.

    
respondido por el John Deters 13.02.2015 - 03:05
fuente

Lea otras preguntas en las etiquetas