¿Hay alguna organización que revise / apruebe las implementaciones criptográficas?

12

Tal como lo entiendo, NIST aprueba los algoritmos criptográficos , pero no cubre implementaciones específicas. Creo que he leído sobre IEEE aprobar implementaciones de hardware de, por ejemplo, AES, pero no puedo pensar en ninguna organización que realice una función análoga para las implementaciones de software de algoritmos criptográficos.

Pregunta de seguimiento / corolario: hay muchas bibliotecas criptográficas de código abierto y de libre acceso; ¿Alguno de estos organismos está regulado / aprobado por algún tipo de organismo regulador?

    
pregunta TJ Ellis 17.04.2011 - 21:22
fuente

1 respuesta

12

Desde 1995, NIST también tiene implementaciones certificadas, a través del Programa de validación de módulos criptográficos (CMVP) que valida los módulos criptográficos para cumplir con los estándares FIPS 140.

OpenSSL es de código abierto y el módulo de objetos OpenSSL FIPS ha sido validado a través de este programa: OpenSSL: Notas importantes sobre OpenSSL y FIPS 140-2 .

  

El módulo de objetos OpenSSL FIPS   La validación es única entre todos los FIPS.   140-2 validaciones en que el producto   es "entregado" en forma de código fuente,   lo que significa que si se puede usar exactamente   como es y puede construirlo (según   el muy específico documentado   instrucciones) para su plataforma, entonces   Puedes usarlo como validado   criptografía en un "vendedor afirmado"   base.

Tenga en cuenta que, como dicen, " es complicado ". Así que revise esos enlaces con cuidado y esté preparado para las interacciones frustrantes entre los desafíos técnicos y burocráticos.

    
respondido por el nealmcb 17.04.2011 - 22:01
fuente

Lea otras preguntas en las etiquetas