5

如果在 Windows 中启用“使用符合 FIPS 的算法进行加密、散列和签名”安全策略选项,尝试使用 .NET Framework 中的许多加密类将导致 InvalidOperationException。默认情况下,ASP.NET 使用 AES 加密 ViewState blob,因此它会失败。您可以通过向 web.config 添加这样的键来解决此问题:

<machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

这涵盖了基本的 ASP.NET 使用。我的问题是:我有一个大型、复杂的 ASP.NET Web 应用程序,它大量使用 ScriptManagers(ASP.NET AJAX 的基础),并且需要由必须启用此 FIPS 策略设置的政府客户进行部署。任何带有 ScriptManager 的 ASP.NET 页面都会引发此异常:

[InvalidOperationException: This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms.]
   System.Security.Cryptography.SHA1Managed..ctor() +3607454
   System.Security.Policy.Hash.get_SHA1() +45
   System.Web.Handlers.ScriptResourceHandler.GetAssemblyInfoInternal(Assembly assembly) +85
   System.Web.Handlers.ScriptResourceHandler.GetAssemblyInfo(Assembly assembly) +99
   System.Web.Handlers.RuntimeScriptResourceHandler.GetScriptResourceUrlImpl(List`1 assemblyResourceLists, Boolean zip, Boolean notifyScriptLoaded) +525
   System.Web.Handlers.RuntimeScriptResourceHandler.System.Web.Handlers.IScriptResourceHandler.GetScriptResourceUrl(List`1 assemblyResourceLists, Boolean zip, Boolean notifyScriptLoaded) +910
   System.Web.Handlers.RuntimeScriptResourceHandler.System.Web.Handlers.IScriptResourceHandler.GetScriptResourceUrl(Assembly assembly, String resourceName, CultureInfo culture, Boolean zip, Boolean notifyScriptLoaded) +193
   System.Web.UI.ScriptReference.GetUrlFromName(ScriptManager scriptManager, IControl scriptManagerControl, Boolean zip) +306
   System.Web.UI.ScriptManager.RegisterUniqueScripts(List`1 uniqueScripts) +169
   System.Web.UI.ScriptManager.RegisterScripts() +407
   System.Web.UI.ScriptManager.OnPagePreRenderComplete(Object sender, EventArgs e) +200
   System.Web.UI.Page.OnPreRenderComplete(EventArgs e) +11041982
   System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +3672

即使将<enforceFIPSPolicy enabled="false"/>元素添加到 web.config 也不能解决异常。

有什么方法可以配置 ASP.NET,以便 ScriptManager 可以与 Windows FIPS 安全策略一起使用?

4

2 回答 2

3

来自 Microsoft 的更新:热修复可在http://code.msdn.microsoft.com/KB981119 获得

答案是您不能将 ScriptManager 与启用 FIPS 的服务器一起使用。:(

System.Web.Handlers.ScriptResourceHandler 类的静态方法 GetAssemblyInfo 创建一个不符合 FIPS 的哈希对象。这在 .Net 3.5 SP1 和 .Net 3.51 之间发生了变化

(System.Web.Extensions 版本 3.5.30729.196)
XP/2003/2008 .Net 3.5 SP1

private static Pair<AssemblyName, DateTime> GetAssemblyInfoInternal(Assembly assembly)
{
    return new Pair<AssemblyName, DateTime>(new AssemblyName(assembly.FullName), GetLastWriteTime(assembly));
}

(System.Web.Extensions 版本 3.5.30729.4926)
Win7/2008R2 .Net 3.51

private static Pair<AssemblyName, string> GetAssemblyInfoInternal(Assembly assembly)
{
    AssemblyName first = new AssemblyName(assembly.FullName);
    return new Pair<AssemblyName, string>(first, Convert.ToBase64String(new Hash(assembly).SHA1));
}

显然,从时间戳到哈希的更改破坏了 FIPS 合规性。我们已经与 Microsoft 建立了支持案例。

于 2010-02-19T15:48:55.610 回答
1

Microsoft 已发布修复此问题的修补程序:KB981119。我不认为该修补程序可通过 Microsoft 网站公开获得。

于 2010-03-15T14:31:46.383 回答