FIPS 140-2 1級認證

Question

我有一個自定義Android設備。我需要通過FIPS認證（140-2 1級）加密模塊來保護靜態數據。我有幾個問題

1. 如果這樣的密碼模塊存在於開源中？
2. 將數據保存在sql-lite中時，我的自定義應用程序將使用經過認證的加密模塊。如果用戶下載某些不使用認證加密模塊的應用程序來存儲數據，會發生什麼情況。
3. 有沒有一個ballpark $和獲得加密模塊認證的時間估計？我可以直接使用這些實驗室（http://csrc.nist.gov/groups/STM/testing_labs/index.html）開始認證過程，還是需要通過某些第三方？

TIA

Answer 1

1. 的OpenSSL已通過認證FIPS。但是，如果您正在通過設備上的FIPS認證，則可以使用任何您想要的加密庫。在認證過程中，您將對加密庫的算法進行算法測試，併爲您的設備驗證庫。即使您使用OpenSSL，您也可能必須修改庫以符合FIPS。

2. 然後這是用戶的錯，不是你的錯。如果用戶僅使用經過FIPS認證的組件，則您將在公共安全策略中發佈設備符合FIPS標準。

3. $ 40,000 +。你不需要第三方，但是如果你以前從未做過，它會很有幫助，他們也會爲你回答這些問題。爲第三方再增加40,000美元。預計最少6個月，這是之後算法和模塊的功能測試。