Weryfikacja fiPS 140-2

Zestaw Microsoft Information Protection SDK w wersji 1.14 lub nowszej można skonfigurować do używania zweryfikowanej wersji protokołu FIPS protokołu OpenSSL 3.0. Aby użyć zweryfikowanych modułów OpenSSL 3.0 fiPS, deweloperzy muszą zainstalować i załadować moduł FIPS.

Zgodność ze standardem FIPS 140-2

Zestaw SDK usługi Microsoft Information Protection używa biblioteki OpenSSL do implementowania wszystkich operacji kryptograficznych. Protokół OpenSSL nie jest zgodny ze standardem FIPS bez większej liczby konfiguracji przez dewelopera. Aby utworzyć aplikację zgodną ze standardem FIPS 140-2, biblioteka OpenSSL w zestawie MIP SDK musi być skonfigurowana do ładowania modułu FIPS w celu wykonywania operacji kryptograficznych zamiast domyślnych szyfrów OpenSSL.

Instalowanie i konfigurowanie modułu FIPS

Aplikacje korzystające z protokołu OpenSSL mogą instalować i ładować moduł FIPS przy użyciu następującej procedury opublikowanej przez bibliotekę OpenSSL:

1. Instalowanie modułu FIPS w dodatku A: Wskazówki dotyczące instalacji i użycia
2. Załaduj moduł FIPS w zestawie MIP SDK, tworząc wszystkie aplikacje, aby domyślnie używać modułu FIPS. Skonfiguruj zmienną środowiskową OpenSSL_MODULES do katalogu zawierającego fips.dll.
3. (Opcjonalnie) Konfigurowanie modułu FIPS dla niektórych aplikacji tylko przez selektywne używanie modułu FIPS domyślnie

Po pomyślnym załadowaniu modułu FIPS dziennik zestawu MIP SDK deklaruje protokół FIPS jako dostawcę OpenSSL.

"OpenSSL provider loaded: [fips]"

Jeśli instalacja nie powiedzie się, dostawca OpenSSL pozostanie domyślny.

 "OpenSSL provider loaded: [default]"

Ograniczenia zestawu MIP SDK z zweryfikowanymi szyframi FIPS 140-2:

• Systemy Android i macOS nie są obsługiwane. Moduł FIPS jest dostępny w systemach Windows, Linux i Mac.

Wymagania dotyczące protokołu TLS

Zestaw MIP SDK zabrania używania wersji protokołu TLS przed 1.2, chyba że połączenie zostało nawiązane z serwerem usługi Active Directory Rights Management.

Algorytmy kryptograficzne w zestawie MIP SDK

Algorytm	Długość klucza	Tryb	Komentarz
AES	128, 192, 256-bitowy	EBC, CBC	Zestaw MIP SDK zawsze chroni domyślnie za pomocą AES256 CBC. Starsze wersje pakietu Office (2010) wymagają AES 128 EBC, a dokumenty pakietu Office są nadal chronione w ten sposób przez aplikacja pakietu Office.
RSA	2048-bitowy	nie dotyczy	Służy do podpisywania i ochrony klucza sesji, który chroni symetryczny obiekt blob klucza.
SHA-1	nie dotyczy	nie dotyczy	Algorytm skrótu używany w walidacji podpisu dla starszych licencji publikowania.
SHA-256	nie dotyczy	nie dotyczy	Algorytm skrótu używany w walidacji danych, weryfikacji podpisu i jako klucze bazy danych.

Następne kroki

Aby uzyskać szczegółowe informacje na temat wewnętrznych i szczegółowych informacji dotyczących sposobu ochrony zawartości przez usługę AIP, zapoznaj się z następującą dokumentacją:

• Jak działa usługa Azure RMS
• Specyfikacja protokołu MS-RMPR
• Licencje, certyfikaty i sposób ochrony i korzystania z dokumentów przez usługę AD RMS