Convalida FIPS 140-2
Microsoft Information Protection SDK versione 1.14 e successive possono essere configurati per l'uso della versione convalidata FIPS di OpenSSL 3.0. Per usare il modulo OpenSSL 3.0 convalidato da FIPS, gli sviluppatori devono installare e caricare il modulo FIPS.
Conformità FIPS 140-2
Microsoft Information Protection SDK usa OpenSSL per implementare tutte le operazioni di crittografia. OpenSSL non è conforme a FIPS senza più configurazione da parte dello sviluppatore. Per sviluppare un'applicazione conforme a FIPS 140-2, è necessario configurare OpenSSL in MIP SDK per caricare il modulo FIPS per eseguire operazioni di crittografia anziché le crittografie OpenSSL predefinite.
Installare e configurare il modulo FIPS
Le applicazioni che usano OpenSSL possono installare e caricare il modulo FIPS con la procedura seguente pubblicata da OpenSSL:
- Installare il modulo FIPS seguente l'Appendice A: Linee guida per l'installazione e l'utilizzo
- Caricare il modulo FIPS in MIP SDK rendendo tutte le applicazioni che usano il modulo FIPS per impostazione predefinita. Configurare la variabile di ambiente OpenSSL_MODULES nella directory contenente il fips.dll.
- (Facoltativo) Configurare il modulo FIPS solo per alcune applicazioni impostando selettivamente l'uso del modulo FIPS per impostazione predefinita
Quando il modulo FIPS viene caricato correttamente, il log di MIP SDK dichiara FIPS come provider OpenSSL.
"OpenSSL provider loaded: [fips]"
Se l'installazione non riesce, il provider OpenSSL rimane predefinito.
"OpenSSL provider loaded: [default]"
Limitazioni di MIP SDK con crittografie convalidate FIPS 140-2:
- Android e macOS non sono supportati. Il modulo FIPS è disponibile in Windows, Linux e Mac.
Requisiti TLS
MIP SDK impedisce l'uso di versioni TLS precedenti alla 1.2, a meno che non venga stabilita la connessione a un server Active Directory Rights Management.
Algoritmi crittografici in MIP SDK
| Algoritmo | Lunghezza chiave | Mode | Commento |
|---|---|---|---|
| AES | 128, 192, 256 bit | BCE, CBC | MIP SDK protegge sempre per impostazione predefinita con AES256 CBC. Le versioni legacy di Office (2010) richiedono AES 128 BCE e i documenti di Office sono ancora protetti in questo modo da app Office. |
| RSA | 2048 bit | n/d | Usato per firmare e proteggere la chiave di sessione che protegge un BLOB di chiavi simmetriche. |
| SHA-1 | n/d | n/d | Algoritmo hash usato nella convalida della firma per le licenze di pubblicazione legacy. |
| SHA-256 | n/d | n/d | Algoritmo hash usato per la convalida dei dati, la convalida della firma e come chiavi di database. |
Passaggi successivi
Per informazioni dettagliate sugli elementi interni e sulle specifiche relative al modo in cui AIP protegge il contenuto, vedere la documentazione seguente:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per