0

I have a custom Android device. I need to protect the data-at-rest with FIPS certified (140-2 Level 1) cryptographic module. I have several questions

  1. If such cryptographic module exist in open source?
  2. While saving data in sql-lite my custom application will use the certified cryptographic module. What happens if user download some application which does not use the certified cryptographic module to store data.
  3. Is there a ballpark $ and time estimates for getting a cryptographic module certified? Can I start the certification process directly with any of these labs (http://csrc.nist.gov/groups/STM/testing_labs/index.html) or do I need to through some 3rd party?

TIA

4

1 回答 1

1

  1. OpenSSL 已通过 FIPS 认证。但是,如果您在设备上通过 FIPS 认证,您可以使用任何您想要的加密库。在认证过程中,您将对加密库的算法进行算法测试,这将为您的设备认证库。即使您使用 OpenSSL,您也可能必须修改库以使其符合 FIPS。

  2. 那么这是用户的错,而不是你的错。如果用户仅使用 FIPS 认证的组件,您将在公共安全策略中公布您的设备符合 FIPS。

  3. 40,000 美元以上。您不需要第 3 方,但如果您以前从未这样做过,这会很有帮助,他们还会为您回答此类问题。为第三方再增加 40,000 美元以上。预计至少需要 6 个月,这是对模块进行算法和功能测试之后。

于 2013-01-20T08:48:47.043 回答