Проверка FIPS 140-2

Пакет SDK Microsoft Information Protection версии 1.14 и выше можно настроить для использования проверенной версии OpenSSL 3.0. Чтобы использовать модуль OpenSSL 3.0, разработчики должны установить и загрузить модуль FIPS.

Соответствие стандарту FIPS 140-2

Пакет SDK Microsoft Information Protection использует OpenSSL для реализации всех криптографических операций. OpenSSL не соответствует FIPS без дополнительной настройки разработчиком. Чтобы разработать приложение, совместимое с FIPS 140-2, OpenSSL в пакете SDK MIP необходимо настроить для загрузки модуля FIPS для выполнения криптографических операций вместо шифров OpenSSL по умолчанию.

Установка и настройка модуля FIPS

Приложения с помощью OpenSSL могут устанавливать и загружать модуль FIPS со следующей процедурой, опубликованной OpenSSL:

1. Установка модуля FIPS в приложении A. Руководство по установке и использованию
2. Загрузка модуля FIPS в пакете SDK MIP путем создания всех приложений по умолчанию использования модуля FIPS. Настройте переменную среды OpenSSL_MODULES в каталог, содержащий fips.dll.
3. (Необязательно) Настройка модуля FIPS для некоторых приложений только путем выборочного создания приложений с помощью модуля FIPS по умолчанию

При успешной загрузке модуля FIPS журнал пакета SDK MIP объявляет FIPS поставщиком OpenSSL.

"OpenSSL provider loaded: [fips]"

Если установка завершается ошибкой, поставщик OpenSSL остается по умолчанию.

 "OpenSSL provider loaded: [default]"

Ограничения пакета SDK MIP с проверенными шифрами FIPS 140-2:

• Android и macOS не поддерживаются. Модуль FIPS доступен в Windows, Linux и Mac.

Требования к TLS

Пакет SDK MIP запрещает использование версий TLS до версии 1.2, если подключение не выполняется с сервером Active Directory Rights Management.

Криптографические алгоритмы в пакете SDK MIP

Алгоритм	Длина ключа	Режим	Комментарий
AES	128, 192, 256-разрядная	ECB, CBC	Пакет SDK MIP всегда защищает по умолчанию с помощью AES256 CBC. Устаревшие версии Office (2010) требуют AES 128 ECB, а документы Office по-прежнему защищены таким образом Приложение Office.
RSA	2048-битный	Н/Д	Используется для подписывания и защиты ключа сеанса, который защищает симметричный большой двоичный объект ключа.
SHA-1	Недоступно	Недоступно	Хэш-алгоритм, используемый в проверке подписи для устаревших лицензий публикации.
SHA-256	Недоступно	Недоступно	Хэш-алгоритм, используемый в проверке данных, проверке подписи и в качестве ключей базы данных.

Next Steps

Дополнительные сведения о внутренних и конкретных способах защиты содержимого AIP см. в следующей документации:

• Принцип работы Azure RMS
• Спецификация протокола MS-RMPR
• Лицензии, сертификаты и способы защиты и использования AD RMS