FIPS 140-2 驗證
Microsoft 資訊保護 SDK 1.14 版和更新版本可以設定為使用 FIPS 驗證版本的 OpenSSL 3.0。 若要使用經過 FIPS 驗證的 OpenSSL 3.0 模組,開發人員必須安裝並載入 FIPS 模組。
FIPS 140-2 合規性
Microsoft 資訊保護 SDK 會使用 OpenSSL 來實作所有密碼編譯作業。 OpenSSL 不符合 FIPS 規範,不需要開發人員進行更多設定。 若要開發符合 FIPS 140-2 規範的應用程式,MIP SDK 中的 OpenSSL 必須設定為載入 FIPS 模組以執行密碼編譯作業,而不是預設的 OpenSSL 加密。
安裝和設定 FIPS 模組
使用 OpenSSL 的應用程式可以使用 OpenSSL 發佈的下列程式來安裝和載入 FIPS 模組:
- 遵循附錄 A 安裝 FIPS 模組 :安裝和使用指引
- 讓 所有應用程式預設都會使用 FIPS 模組,以在 MIP SDK 中載入 FIPS 模組。 將 OpenSSL_MODULES 環境變數設定為包含fips.dll的目錄。
- (選擇性)僅透過 選擇性地讓應用程式預設使用 FIPS 模組,為某些應用程式設定 FIPS 模組
成功載入 FIPS 模組時,MIP SDK 記錄會將 FIPS 宣告為 OpenSSL 提供者。
"OpenSSL provider loaded: [fips]"
如果安裝失敗,OpenSSL 提供者會維持預設值。
"OpenSSL provider loaded: [default]"
使用 FIPS 140-2 驗證加密的 MIP SDK 限制:
- 不支援 Android 和 macOS。 FIPS 模組可在 Windows、Linux 和 Mac 上使用。
TLS 需求
MIP SDK 禁止使用 1.2 之前的 TLS 版本,除非連線到 Active Directory Rights Management 伺服器。
MIP SDK 中的密碼編譯演算法
| 演算法 | 金鑰長度 | 模式 | 註解 |
|---|---|---|---|
| AES | 128、192、256 位 | 歐洲央行、CBC | 根據預設,MIP SDK 一律會使用 AES256 CBC 保護。 舊版 Office (2010) 需要 AES 128 ECB,Office 檔仍會受到 Office 應用程式 的保護。 |
| RSA | 2048 位元 | n/a | 用於簽署和保護可保護對稱密鑰 Blob 的會話金鑰。 |
| SHA-1 | n/a | n/a | 簽章驗證中用於舊版發佈授權的哈希演算法。 |
| SHA-256 | n/a | n/a | 用於數據驗證、簽章驗證和作為資料庫密鑰的哈希演算法。 |
後續步驟
如需 AIP 如何保護內容之內部和細節的詳細資訊,請檢閱下列檔: