Validation FIPS 140-2
Microsoft Protection des données SDK version 1.14 et ultérieure peut être configuré pour utiliser la version validée FIPS d’OpenSSL 3.0. Pour utiliser le module OpenSSL 3.0 validé par FIPS, les développeurs doivent installer et charger le module FIPS.
Conformité avec la norme FIPS 140-2
Le Kit de développement logiciel (SDK) Microsoft Protection des données utilise OpenSSL pour implémenter toutes les opérations de chiffrement. OpenSSL n’est pas conforme FIPS sans plus de configuration par le développeur. Pour développer une application conforme FIPS 140-2, OpenSSL dans le SDK MIP doit être configuré pour charger le module FIPS pour effectuer des opérations de chiffrement au lieu des chiffrements OpenSSL par défaut.
Installer et configurer le module FIPS
Les applications utilisant OpenSSL peuvent installer et charger le module FIPS avec la procédure suivante publiée par OpenSSL :
- Installer le module FIPS suivant l’annexe A : Guide d’installation et d’utilisation
- Chargez le module FIPS dans le Kit de développement logiciel (SDK) MIP en rendant toutes les applications utilisant le module FIPS par défaut. Configurez la variable d’environnement OpenSSL_MODULES dans le répertoire contenant le fips.dll.
- (Facultatif) Configurer le module FIPS pour certaines applications uniquement en rendant les applications utilisant le module FIPS par défaut
Lorsque le module FIPS est correctement chargé, le journal du SDK MIP déclare FIPS en tant que fournisseur OpenSSL.
"OpenSSL provider loaded: [fips]"
Si l’installation échoue, le fournisseur OpenSSL reste par défaut.
"OpenSSL provider loaded: [default]"
Limitations du SDK MIP avec des chiffrements validés FIPS 140-2 :
- Android et macOS ne sont pas pris en charge. Le module FIPS est disponible sur Windows, Linux et Mac.
Exigences relatives à TLS
Le SDK MIP interdit l’utilisation des versions TLS antérieures à la version 1.2, sauf si la connexion est établie à un serveur Active Directory Rights Management.
Algorithmes de chiffrement dans le SDK MIP
| Algorithme | Longueur de clé | Mode | Commentaire |
|---|---|---|---|
| AES | 128, 192, 256 bits | BCE, CBC | Le SDK MIP se protège toujours par défaut avec AES256 CBC. Les versions héritées d’Office (2010) nécessitent AES 128 BCE, et les documents Office sont toujours protégés de cette façon par des applications Office. |
| RSA | 2 048 bits | n/a | Utilisé pour signer et protéger la clé de session qui protège un objet blob de clé symétrique. |
| SHA-1 | n/a | n/a | Algorithme de hachage utilisé dans la validation de signature pour les licences de publication héritées. |
| SHA-256 | n/a | n/a | Algorithme de hachage utilisé dans la validation des données, la validation de signature et comme clés de base de données. |
Étapes suivantes
Pour plus d’informations sur les éléments internes et les spécificités de la façon dont AIP protège le contenu, consultez la documentation suivante :