FIPS 140-2 検証
Microsoft Information Protection SDK バージョン 1.14 以降は、OpenSSL 3.0 の FIPS 検証済みバージョンを使用するように構成できます。 FIPS 検証済みの OpenSSL 3.0 モジュールを使用するには、開発者が FIPS モジュールをインストールして読み込む必要があります。
FIPS 140-2 への準拠
Microsoft Information Protection SDK は、OpenSSL を使用してすべての暗号化操作を実装します。 OpenSSL は、開発者によって構成を増やさないと FIPS に準拠しません。 FIPS 140-2 準拠アプリケーションを開発するには、既定の OpenSSL 暗号ではなく、暗号化操作を実行するように FIPS モジュールを読み込むように MIP SDK の OpenSSL を構成する必要があります。
FIPS モジュールをインストールして構成する
OpenSSL を使用したアプリケーションは、OpenSSL によって発行された次の手順で FIPS モジュールをインストールして読み込むことができます。
- 「付録 A: インストールと使用に関するガイダンス」に従って FIPS モジュールをインストールする
- すべてのアプリケーションがデフォルトで FIPS モジュールを使用するようにして、MIP SDK に FIPS モジュールを読み込みます。 fips.dllを 含むディレクトリに OpenSSL_MODULES 環境変数を構成します。
- (省略可能) [アプリケーションがデフォルトで FIPS モジュールを使用するよう選択的にする] だけで、一部のアプリケーションに対して FIPS モジュールを構成するようにする
FIPS モジュールが正常に読み込まれると、MIP SDK ログは FIPS を OpenSSL プロバイダーとして宣言します。
"OpenSSL provider loaded: [fips]"
インストールに失敗した場合、OpenSSL プロバイダーはデフォルトのままです。
"OpenSSL provider loaded: [default]"
FIPS 140-2 検証済み暗号を使用した MIP SDK の制限事項:
- Android と macOS はサポートされていません。 FIPS モジュールは、Windows、Linux、および Mac で使用できます。
TLS の要件
MIP SDK では、Active Directory Rights Management サーバーへの接続が確立されていない限り、1.2 よりも前の TLS バージョンの使用が禁止されています。
MIP SDK の暗号化アルゴリズム
| アルゴリズム | キーの長さ | モード | コメント |
|---|---|---|---|
| AES | 128、192、256 ビット | ECB、CBC | MIP SDK は、既定で常に AES256 CBC を使用して保護します。 レガシ バージョンの Office (2010) には AES 128 ECB が必要であり、Office ドキュメントは引き続きこの方法で Office アプリによって保護されます。 |
| RSA | 2048 ビット | 該当なし | 対称キー BLOB を保護するセッション キーの署名と保護に使用されます。 |
| SHA-1 | 該当なし | 該当なし | レガシ発行ライセンスの署名検証で使用されるハッシュ アルゴリズム。 |
| SHA-256 | 該当なし | 該当なし | データ検証、署名検証、およびデータベース キーとして使用されるハッシュ アルゴリズム。 |
次のステップ
AIP によるコンテンツ保護方法の本質と細部について詳しくは、次のドキュメントを参照してください。