我目前正在将生成 OpenPGP 消息的应用程序升级为符合 FIPS 140-2。目前,我生成使用 RSA/AES-256 加密的 PGP 消息,这两种加密算法都是使用 BouncyCastle 及其 OpenPGP 提供程序的认可算法。我不再能够使用 BouncyCastly,因为它不是 FIPS 140-2 验证,所以我正在查看 RSA 的 BSAFE 库。
该库没有让您直接生成 OpenPGP 消息的高级抽象。有谁知道可以使用能够生成 OpenPGP 消息的现有 JCE 提供程序(例如我的 BSAFE 库)的库?我真的很想避免自己实现 OpenPGP 规范,因为这似乎很耗时。或者对格式化我的加密文件的其他方法有什么建议吗?
提前感谢您的任何意见!
经过大量研究,如果不自己实现 OpenPGP 格式,似乎没有办法做到这一点。然而,加密消息语法似乎是一个合适的替代品。
S/MIME(加密消息语法)和 OpenPGP 之间存在重大差异。
http://mozilla-enigmail.org/forum/viewtopic.php?t=67
主要是 S/MIME 以证书的形式交换密钥(必须使用证书颁发机构,限制为 1024 位,并在 1 年后过期),而 OpenPGP 使用 PGP 密钥(可以点对点交换,或使用免费的密钥服务器,或托管您自己的密钥服务器)。
FIPS 140-2 不适用于 SSL、PGP、S/MIME 或 SSH 等协议。这些是使用RSA 和 AES 等加密算法的安全协议。(然而,商业加密供应商不太可能指出这种区别)。
FIPS 140-2 列出了批准的算法。它还为实现这些算法的“加密模块”指定了测试标准。但是,它没有说明这些算法的应用。
因此,您可以使用 BouncyCastle 的 PGP 提供程序。安装您的 FIPS 140-2 认证实施,而不是安装 Bouncy Castle 作为加密提供者。Bouncy Castle 的 PGP 将为其基础加密算法使用首选加密提供商。您可以以同样的方式使用他们的 S/MIME 支持。