Nuestra compañía está trabajando para obtener la validación FIPS para la aplicación iOS y está en la fase inicial. Hemos decidido usar una biblioteca privada certificada por FIPS para usar en los módulos criptográficos. Tengo algunas preguntas al respecto.
- Si incluyo las bibliotecas TLS fipscanister y openssl en la compilación y uso solo las Cryptocalls certificadas FIPS de la biblioteca TLS, ¿puedo decir que la aplicación está validada por FIPS? Si no, ¿qué otra cosa debería hacer? (usamos una variación de udid del dispositivo como la clave de cifrado para la encriptación AES ya que la aplicación no es una aplicación basada en contraseña).
- Escuché algo como la verificación de integridad. ¿Qué significa?
- ¿Tengo que cambiar algo en el proceso de compilación aparte de estos cambios?
- Mientras leo en algún lugar que para Android, debe haber una clave externa para el módulo criptográfico que se usa para generar una clave interna con el uso de CSPRNG aprobado por FIPS para cifrar y descifrar los datos. ¿El mismo requisito se aplica también a iOS?