FIPS 140-2 验证
可以将 Microsoft 信息保护 SDK 版本 1.14 及更高版本配置为使用经过 FIPS 验证的 OpenSSL 3.0 版本。 若要使用经过 FIPS 验证的 OpenSSL 3.0 模块,开发人员必须安装和加载 FIPS 模块。
符合 FIPS 140-2 标准
Microsoft 信息保护 SDK 使用 OpenSSL 实现所有加密操作。 OpenSSL 不符合 FIPS,无需开发人员进行更多配置。 若要开发符合 FIPS 140-2 的应用程序,必须将 MIP SDK 中的 OpenSSL 配置为加载 FIPS 模块以执行加密操作,而不是默认的 OpenSSL 密码。
安装和配置 FIPS 模块
使用 OpenSSL 的应用程序可以使用 OpenSSL 发布的以下过程安装和加载 FIPS 模块:
- 安装以下附录 A 的 FIPS 模块:安装和使用指南
- 默认情况下,通过在 MIP SDK 中加载 FIPS 模块,使 所有应用程序都使用 FIPS 模块。 将 OpenSSL_MODULES 环境变量配置为包含fips.dll的目录。
- (可选)仅选择性地 使应用程序默认使用 FIPS 模块,为某些应用程序配置 FIPS 模块
成功加载 FIPS 模块后,MIP SDK 日志会将 FIPS 声明为 OpenSSL 提供程序。
"OpenSSL provider loaded: [fips]"
如果安装失败,OpenSSL 提供程序将保持默认值。
"OpenSSL provider loaded: [default]"
符合 FIPS 140-2 验证密码的 MIP SDK 的限制:
- 不支持 Android 和 macOS。 FIPS 模块在 Windows、Linux 和 Mac 上可用。
TLS 要求
MIP SDK 禁止使用 1.2 之前的 TLS 版本,除非连接到 Active Directory Rights Management 服务器。
MIP SDK 中的加密算法
| 算法 | 密钥长度 | 模型 | 注释 |
|---|---|---|---|
| AES | 128、192、256 位 | ECB、CBC | 默认情况下,MIP SDK 始终使用 AES256 CBC 进行保护。 旧版 Office (2010) 需要 AES 128 ECB,且 Office 应用仍以这种方式保护 Office 文档。 |
| RSA | 2048 位 | 不适用 | 用于对保护对称密钥 Blob 的会话密钥进行签名和保护。 |
| SHA-1 | n/a | n/a | 用于旧版发布许可证签名验证的哈希算法。 |
| SHA-256 | n/a | n/a | 数据验证、签名验证和数据库密钥中使用的哈希算法。 |
后续步骤
有关 AIP 如何保护内容的内部和细节的详细信息,请查看以下文档: