Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Information Protection SDK, Version 1.14 und höher, kann für die Verwendung der FIPS-validierten Version von OpenSSL 3.0 konfiguriert werden. Um das FIPS-validierte OpenSSL 3.0-Modul zu verwenden, müssen Entwickler das FIPS-Modul installieren und laden.
FIPS 140-2-Konformität
Das Microsoft Information Protection SDK verwendet OpenSSL, um alle kryptografischen Vorgänge zu implementieren. OpenSSL ist nicht FIPS kompatibel, ohne mehr Konfiguration durch den Entwickler. Um eine FIPS 140-2-kompatible Anwendung zu entwickeln, muss OpenSSL im MIP SDK so konfiguriert werden, dass das FIPS-Modul zum Ausführen kryptografischer Vorgänge anstelle der Standardmäßigen OpenSSL-Verschlüsselungen geladen werden kann.
Installieren und Konfigurieren des FIPS-Moduls
Anwendungen, die OpenSSL verwenden, können das FIPS-Modul mit dem folgenden Verfahren installieren und laden, das von OpenSSL veröffentlicht wurde:
- Installieren des FIPS-Moduls im folgenden Anhang A: Installations- und Verwendungsleitfaden
- Laden Sie das FIPS-Modul im MIP SDK, indem Sie festlegen, dass alle Anwendungen das FIPS-Modul standardmäßig verwenden. Konfigurieren Sie die OpenSSL_MODULES Umgebungsvariable für das Verzeichnis, das die fips.dll enthält.
- (Optional) Konfigurieren des FIPS-Moduls für einige Anwendungen nur durch selektive Verwendung des FIPS-Moduls standardmäßig
Wenn das FIPS-Modul erfolgreich geladen wird, deklariert das MIP SDK-Protokoll FIPS als OpenSSL-Anbieter.
"OpenSSL provider loaded: [fips]"
Wenn die Installation fehlschlägt, wird der OpenSSL-Anbieter standardmäßig erneut Standard.
"OpenSSL provider loaded: [default]"
Einschränkungen des MIP SDK mit FIPS 140-2 validierten Verschlüsselungen:
- Android und macOS werden nicht unterstützt. Das FIPS-Modul ist unter Windows, Linux und Mac verfügbar.
TLS-Anforderungen
MIP SDK verbietet die Verwendung von TLS-Versionen vor 1.2, es sei denn, die Verbindung wird an einen Active Directory Rights Management-Server hergestellt.
Kryptografische Algorithmen im MIP SDK
| Algorithmus | Schlüssellänge | Mode | Kommentar |
|---|---|---|---|
| AES | 128, 192, 256 Bit | ECB, CBC | MIP SDK schützt immer standardmäßig mit AES256 CBC. Ältere Versionen von Office (2010) erfordern AES 128 EZB, und Office Dokumente werden weiterhin durch Office Apps geschützt. |
| RSA | 2\.048 Bit | Nicht zutreffend | Wird zum Signieren und Schützen des Sitzungsschlüssels verwendet, der einen symmetrischen Schlüssel-Blob schützt. |
| SHA-1 | Nicht zutreffend | Nicht zutreffend | Hashalgorithmus, der in der Signaturüberprüfung für ältere Veröffentlichungslizenzen verwendet wird. |
| SHA-256 | Nicht zutreffend | Nicht zutreffend | Hashalgorithmus, der in der Datenüberprüfung, der Signaturüberprüfung und als Datenbankschlüssel verwendet wird. |
Nächste Schritte
Ausführliche Informationen zu den Internen und Einzelheiten dazu, wie AIP Inhalte schützt, lesen Sie die folgende Dokumentation: