FIPS 140-2 유효성 검사
Microsoft Information Protection SDK 버전 1.14 이상은 FIPS 유효성이 검사된 OpenSSL 3.0 버전을 사용하도록 구성할 수 있습니다. FIPS 유효성이 검사된 OpenSSL 3.0 모듈을 사용하려면 개발자가 FIPS 모듈을 설치하고 로드해야 합니다.
FIPS 140-2 규정 준수
Microsoft Information Protection SDK는 OpenSSL을 사용하여 모든 암호화 작업을 구현합니다. OpenSSL은 개발자의 추가 구성 없이 FIPS 규격이 아닙니다. FIPS 140-2 호환 애플리케이션을 개발하려면 기본 OpenSSL 암호화 대신 암호화 작업을 수행하도록 FIPS 모듈을 로드하도록 MIP SDK의 OpenSSL을 구성해야 합니다.
FIPS 모듈 설치 및 구성
OpenSSL을 사용하는 애플리케이션은 OpenSSL에서 게시한 다음 절차를 사용하여 FIPS 모듈을 설치하고 로드할 수 있습니다.
- 부록 A: 설치 및 사용 지침에 따라 FIPS 모듈 설치
- 모든 애플리케이션이 기본적으로 FIPS 모듈을 사용하도록 하여 MIP SDK에서 FIPS 모듈을 로드합니다. fips.dll 포함하는 디렉터리에 OpenSSL_MODULES 환경 변수를 구성합니다.
- (선택 사항) 애플리케이션에서 FIPS 모듈을 기본적으로 사용하도록 선택적으로만 일부 애플리케이션에 대한 FIPS 모듈 구성
FIPS 모듈이 성공적으로 로드되면 MIP SDK 로그는 FIPS를 OpenSSL 공급자로 선언합니다.
"OpenSSL provider loaded: [fips]"
설치에 실패하면 OpenSSL 공급자가 기본값을 다시 기본.
"OpenSSL provider loaded: [default]"
FIPS 140-2 유효성이 검사된 암호화를 사용하는 MIP SDK의 제한 사항:
- Android 및 macOS는 지원되지 않습니다. FIPS 모듈은 Windows, Linux 및 Mac에서 사용할 수 있습니다.
TLS 요구 사항
MIP SDK는 Active Directory Rights Management 서버에 연결하지 않는 한 1.2 이전의 TLS 버전 사용을 금지합니다.
MIP SDK의 암호화 알고리즘
| 알고리즘 | 키 길이 | 모드 | Comment(설명) |
|---|---|---|---|
| AES | 128, 192, 256비트 | ECB, CBC | MIP SDK는 항상 기본적으로 AES256 CBC를 사용하여 보호합니다. 레거시 버전의 Office(2010)에는 AES 128 ECB가 필요하며, Office 문서는 Office 앱에 의해 이러한 방식으로 계속 보호됩니다. |
| RSA | 2048비트 | 해당 없음 | 대칭 키 Blob을 보호하는 세션 키 서명 및 보호에 사용됩니다. |
| SHA-1 | 해당 없음 | 해당 없음 | 레거시 게시 라이선스에 대한 서명 유효성 검사에 사용되는 해시 알고리즘입니다. |
| SHA-256 | 해당 없음 | 해당 없음 | 데이터 유효성 검사, 서명 유효성 검사 및 데이터베이스 키로 사용되는 해시 알고리즘입니다. |
다음 단계
AIP가 콘텐츠를 보호하는 방법의 내부 및 세부 정보에 대한 자세한 내용은 다음 설명서를 검토하세요.