Validação FIPS 140-2
O Microsoft Information Protection SDK versão 1.14 e superior pode ser configurado para usar a versão validada FIPS do OpenSSL 3.0. Para usar o módulo OpenSSL 3.0 validado pelo FIPS, os desenvolvedores devem instalar e carregar o módulo FIPS.
Conformidade com FIPS 140-2
O SDK de Proteção de Informações da Microsoft usa OpenSSL para implementar todas as operações criptográficas. OpenSSL não é compatível com FIPS sem mais configuração pelo desenvolvedor. Para desenvolver um aplicativo compatível com FIPS 140-2, o OpenSSL no MIP SDK deve ser configurado para carregar o módulo FIPS para executar operações criptográficas em vez das cifras OpenSSL padrão.
Instalar e configurar o módulo FIPS
As aplicações que utilizam OpenSSL podem instalar e carregar o módulo FIPS com o seguinte procedimento publicado pelo OpenSSL:
- Instale o módulo FIPS seguindo o Apêndice A: Diretrizes de instalação e uso
- Carregue o módulo FIPS no MIP SDK fazendo com que todos os aplicativos usem o módulo FIPS por padrão. Configure a variável de ambiente OpenSSL_MODULES para o diretório que contém o fips.dll.
- (Opcional) Configure o módulo FIPS para alguns aplicativos somente fazendo com que os aplicativos usem seletivamente o módulo FIPS por padrão
Quando o módulo FIPS é carregado com êxito, o log do MIP SDK declara o FIPS como o provedor OpenSSL.
"OpenSSL provider loaded: [fips]"
Se a instalação falhar, o provedor OpenSSL permanecerá padrão.
"OpenSSL provider loaded: [default]"
Limitações do MIP SDK com cifras validadas pelo FIPS 140-2:
- Android e macOS não são suportados. O módulo FIPS está disponível para Windows, Linux e Mac.
Requisitos TLS
O MIP SDK proíbe o uso de versões TLS anteriores à 1.2, a menos que a conexão seja feita com um servidor Ative Directory Rights Management.
Algoritmos criptográficos no MIP SDK
| Algoritmo | Comprimento da chave | Modo | Comentário |
|---|---|---|---|
| AES | 128, 192, 256 bits | BCE, CBC | MIP SDK sempre protege por padrão com AES256 CBC. As versões herdadas do Office (2010) requerem o AES 128 ECB, e os documentos do Office ainda são protegidos desta forma pelas aplicações do Office. |
| RSA | 2048-bit | n/d | Usado para assinar e proteger a chave de sessão que protege um blob de chave simétrica. |
| SHA-1 | n/d | n/d | Algoritmo de hash usado na validação de assinatura para licenças de publicação herdadas. |
| SHA-256 | n/d | n/d | Algoritmo de hash usado na validação de dados, validação de assinatura e como chaves de banco de dados. |
Passos Seguintes
Para obter detalhes sobre os aspetos internos e específicos de como o AIP protege o conteúdo, consulte a seguinte documentação: