FIPS 140-2 1级认证

Question

我有自定义Android设备。我需要使用FIPS认证（140-2 Level 1）加密模块来保护静态数据。我有几个问题

1. 如果这样的加密模块存在于开源中？
2. 在sql-lite中保存数据时，我的自定义应用程序将使用经过认证的加密模块。如果用户下载了一些不使用经过认证的加密模块来存储数据的应用程序，会发生什么。
3. 是否有获得加密模块认证的球场$和时间估算？我可以直接使用这些实验室（http://csrc.nist.gov/groups/STM/testing_labs/index.html）开始认证过程，还是需要通过某些第三方进行认证？

TIA

Answer 1

1. OpenSSL已通过FIPS认证。但是，如果您要在设备上进行FIPS认证，则可以使用您想要的任何加密库。在认证过程中，您将对加密库的算法进行算法测试，并为您的设备验证库。即使您使用OpenSSL，也可能必须修改库以使其符合FIPS。

2. 然后是用户的错，不是你的。如果用户仅使用FIPS认证的组件，您将在公共安全策略中发布您的设备符合FIPS标准。

3. $ 4万。你不需要第三方，但如果你以前从未这样做过，它会很有用，他们也会为你回答这些问题。为第三方添加另外$ 40,000 +。预计至少6个月，这是算法和模块功能测试后的。