對(duì)wolfCrypt模塊進(jìn)行FIPS 140-3驗(yàn)證

聯(lián)邦信息處理標(biāo)準(zhǔn) （FIPS） 于 1994 年首次發(fā)布，是用于批準(zhǔn)美國政府機(jī)構(gòu)和與其合作的任何組織使用的加密模塊的標(biāo)準(zhǔn)?，F(xiàn)在，25 多年后，F(xiàn)IPS 標(biāo)準(zhǔn)已第二次更新為FIPS 140-3，以將更新納入基礎(chǔ) ISO/IEC 標(biāo)準(zhǔn)。因此，政府機(jī)構(gòu)和承包商必須開始過渡到 FIPS 140-3 驗(yàn)證的組件。

wolfSSL wolfCrypt 輕量級(jí)嵌入式加密引擎的 FIPS 就緒版本在 wolfSSL 源代碼樹中作為加密層代碼提供。這提供了組織獲得 FIPS 批準(zhǔn)并在其即將推出的或現(xiàn)有的系統(tǒng)設(shè)計(jì)中獲得 FIPS 驗(yàn)證證書所需的所有組件。

輕量級(jí)、基于 C 的 wolfCrypt 庫包括哈希、密碼和加密算法，例如：

哈希： SHA-1、SHA-224、SHA-256、SHA-384、SHA-512、BLAKE2b 等。

身份驗(yàn)證密碼： AES、DES、ARC4、ChaCha20 等。

公鑰算法： RSA、DSS、ECDH-ECDSA、NTRU等。

wolfCrypt FIPS Ready 模塊的其他功能包括 TLS 1.3 算法支持、作為經(jīng)過驗(yàn)證的熵源的狀態(tài)，以及通過 AES-NI 等指令支持可擴(kuò)展硬件加密。

FIPS Ready wolfCrypt 模塊已完成美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST）加密模塊驗(yàn)證計(jì)劃 （CMVP）。由于 wolfCrypt 加密引擎是許多其他 wolfSSL 產(chǎn)品的基礎(chǔ)，因此 wolfSSH、wolfMQTT、wolfBoot 等組件也已準(zhǔn)備好進(jìn)行 FIPS 140-3 驗(yàn)證。

wolfSSL FIPS Ready wolfCrypt 庫在行動(dòng)

更新的 FIPS 140-3 標(biāo)準(zhǔn)主要由 ISO 19790:2012（加密模塊的安全要求）和 ISO 24759:2017（加密模塊的測試要求）的添加和更改推動(dòng)。wolfSSL 隨后對(duì)其經(jīng) FIPS 140-2 驗(yàn)證的 wolfCrypt 產(chǎn)品進(jìn)行了更改，以使其符合 FIPS 140-3 的要求，其中包括：

刪除了對(duì) 3DES 的支持

添加了 TLS 1.2、TLS 1.3 和 SSH KDF 支持

添加了 4096 位 RSA 支持

添加了 KAS_ECC_SSC 和 KAS_FFC_SSC 支持

添加了具有 SHA3 哈希支持的 ECDSA

通過僅使用時(shí)的已知答案測試改進(jìn)了啟動(dòng)時(shí)間

簡化的 CAST 測試

和更多

wolfSSL 源代碼樹包含 FIPS 140-3 驗(yàn)證的 wolfCrypt 模塊中固有的 FIPS Ready 代碼，旨在集成到系統(tǒng)中，作為確保其按照 FIPS 強(qiáng)制執(zhí)行的與默認(rèn)入口點(diǎn)相關(guān)的最佳實(shí)踐運(yùn)行的機(jī)制，以及上電自檢。該模塊還支持對(duì)已批準(zhǔn)的安全功能和服務(wù)的 API 調(diào)用，例如對(duì)稱加密/解密、密鑰散列、隨機(jī)數(shù)生成、數(shù)字簽名、消息摘要、密鑰生成、密鑰協(xié)商、DSA 密鑰、密鑰傳輸?shù)取?/p>

由于上述軟件包的升級(jí)和靈活性，該模塊可以用作兼容 FIPS 的 OpenSSL 引擎的直接替代品。

審核編輯：郭婷