Validação FIPS 140-2
O Microsoft Information Protection SDK versão 1.14 e superior pode ser configurado para usar a versão validada FIPS do OpenSSL 3.0. Para usar o módulo OpenSSL 3.0 validado pelo FIPS, os desenvolvedores devem instalar e carregar o módulo FIPS.
Conformidade com FIPS 140-2
O SDK do Microsoft Information Protection usa OpenSSL para implementar todas as operações criptográficas. O OpenSSL não é compatível com FIPS sem mais configuração por parte do desenvolvedor. Para desenvolver um aplicativo compatível com FIPS 140-2, o OpenSSL no SDK do MIP deve ser configurado para carregar o módulo FIPS para executar operações criptográficas em vez das cifras OpenSSL padrão.
Instalar e configurar o módulo FIPS
Os aplicativos que usam OpenSSL podem instalar e carregar o módulo FIPS com o seguinte procedimento publicado pelo OpenSSL:
- Instale o módulo FIPS seguindo o Apêndice A: Diretrizes de instalação e uso
- Carregue o módulo FIPS no SDK do MIP fazendo com que todos os aplicativos usem o módulo FIPS por padrão. Configure a variável de ambiente OpenSSL_MODULES para o diretório que contém o fips.dll.
- (Opcional) Configure o módulo FIPS somente para alguns aplicativos fazendo com que os aplicativos usem seletivamente o módulo FIPS por padrão
Quando o módulo FIPS é carregado com êxito, o log do SDK do MIP declara o FIPS como o provedor OpenSSL.
"OpenSSL provider loaded: [fips]"
Se a instalação falhar, o provedor OpenSSL permanecerá padrão.
"OpenSSL provider loaded: [default]"
Limitações do MIP SDK com cifras validadas pelo FIPS 140-2:
- Android e macOS não são suportados. O módulo FIPS está disponível para Windows, Linux e Mac.
Requisitos de TLS (Transport Layer Security)
O SDK da PIM proíbe o uso de versões da TLS anteriores à 1.2, a menos que a conexão seja feita com um servidor do Active Directory Rights Management.
Algoritmos criptográficos no SDK da PIM
| Algoritmo | Comprimento de chave | Mode | Comentário |
|---|---|---|---|
| AES | 128, 192, 256 bits | ECB (Electronic Codebook), CBC (Cipher Block Chaining) | O SDK da PIM sempre oferece proteção por padrão com AES256 CBC. As versões herdadas do Office (2010) requerem o AES 128 ECB e os documentos do Office continuam a ser protegidos desta forma pelos aplicativos do Office. |
| RSA | 2048 bits | N/D | Usado para assinar e proteger a chave da sessão que protege um blob de chave simétrica. |
| SHA-1 | N/D | N/D | Algoritmo de hash usado na validação de assinatura para licenças de publicação herdadas. |
| SHA-256 | N/D | N/D | Algoritmo de hash usado em validação de dados, validação de assinatura e como chaves de banco de dados. |
Próximas etapas
Para obter detalhes sobre os aspectos internos e específicos de como o AIP protege o conteúdo, consulte a seguinte documentação: