我们正在开发Android L应用程序,旨在使用FIPS 140-2验证加密。
据我所知,Adroid有FIPS库,但尚未经过验证。 (编译完成后,在/ system / lib /中有libssl.so和libcrypto.so)
如何配置envsetup.sh或make文件或源文件以生成libssl.so和libcrypto.so以满足FIPS 140-2要求?
感谢。
答案 0 :(得分:0)
如何通过构建Android L的源代码来满足FIPS 140-2
Android L是FIPS术语中的操作环境(OE)。查看OpenSSL FIPS 2.0 Security Policy,表2,第10-12页,OE尚未根据证书1747进行验证。因此简短的回答是, 您不能
答案越长,您可以联系OpenSSL Foundation,也许可以获得change letter或private label validation 。它可以建立在你不能的简短答案的基础上,通过使用证书1747作为起点将其变为 你可以 然后满足更多的官僚机构要求。
真正的答案是, 你不能 ,因为CMVP最近改变了一些规则。 CMVP希望规则更改能够追溯应用于现有的已批准的 - 验证。如果OpenSSL不同意,那么CMVP将不会根据证书1747批准未来的更改信函和私人验证。
OpenSSL不同意,因为它追溯应用于现有验证(实际上,它未经验证退出验证),并且对资助这些验证的人员不公平。 CMVP通过撤销1747证书下的一些先前验证作出回应。
如果你一直在关注这些事件,那么这就是The FIPS 140-2 "Hostage" Issue的核心。我被告知一个主要的新闻媒体,调查报道正准备发表一篇关于CMVP行动的文章,以及它如何伤害开源软件,互联网用户和美国联邦机构。它应该与The U.S. Government: Paying to Undermine Internet Security, Not to Fix It文章一致。
两个相关资源 如果 您拥有已批准的运营环境,则为FIPS Library and Android和OpenSSL and Android。 OpenSSL通过它的wiki提供它们。
如果您需要有关如何继续的更多信息或指导,请contact Steve Marquess of the OpenSSL Foundation。