Aquí es donde debes leer cuidadosamente.
-
Cumple significa que el proveedor cree que ha seguido los requisitos de cifrado FIPS y que su producto cumple con los requisitos específicos.
-
Certified significa que el producto ha sido realmente probado por NIST y emitido un número de certificado.
La certificación es un proceso costoso y que requiere mucho tiempo, y se debe volver a realizar después de los cambios, para que las empresas tomen la ruta "compatible".
FISMA y las RFI / RFP específicas, etc. indicarán los requisitos en torno a los módulos / hardware / etc certificados y durante la revisión requerirán el número de certificado NIST, así que asegúrese de leer los requisitos con cuidado y ser específico al enviar los requisitos al proveedor. Acepte productos compatibles en lugar de certificados.
Editar: también asegúrese de que está viendo la versión correcta de un producto. La certificación FIPS se aplica a un conjunto específico de código. Por lo general, también hay requisitos operativos sobre la configuración del sistema operativo, etc., por lo que la terminología dirá algunas veces "Modo certificado por FIPS 140-2".
Por lo tanto, FooLock 1.0 puede estar certificado, pero FooLock 1.1 no lo es porque a pesar de que es el mismo código fuente, utiliza un CLR de MS .NET diferente.
El editor de FooLock puede (sin ninguna intención de engañar) decir que FooLock 1.1 es compatible con FIPS porque el módulo criptográfico es "el mismo código" pero no está certificado, y si usa FooLock 1.1 para un solución que requería un producto certificado, como dice South Park, vas a tener un mal momento.