OpenSSL 1.0 получил сертификат безопасности FIPS 140-2

Проект OpenSSL получил для версии библиотеки 1.0 сертификат соответствия стандарту безопасности FIPS 140-2, определяющего требования к криптографическим модулям, необходимые для их использования в государственных учреждениях США. Сертификат выдан Американским институтом стандартов и технологий NIST после проведения соответствующего аудита кода проекта.

Выданные сертификат примечателен тем, что он выдан на исходные тексты продукта, а не конкретную бинарную сборку, что расширяет область использования OpenSSL в государственных проектах. Тем не менее, сертификация кода налагает определённые требования на окружение сборки, которое может включать только одобренные FIPS сборочные инструменты и немодифицированные исходные тексты версии библиотеки, прошедшей сертификацию. При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.

Выданный сертификат не охватывает всю библиотеку, а лишь подтверждает безопасность модуля OpenSSL FIPS Object Module, в состав которого включено ограниченное подмножество возможностей OpenSSL. Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как Blowfish, CAST, IDEA и RC4/5.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=34261

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>