Cumplimiento FIPS¶

El Instituto Nacional de Normas y Tecnología (NIST) define los Estándares Federales de Procesamiento de Información (FIPS).

FIPS son estándares y pautas para sistemas informáticos federales desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST) de acuerdo con la Ley Federal de Gestión de Seguridad de la Información (FISMA) y aprobados por el Secretario de Comercio.

Vinyl es una aplicación .NET. La siguiente página establece la posición de Microsoft sobre el cumplimiento de FIPS con respecto a .NET:

https://docs.microsoft.com/en-us/dotnet/standard/security/fips-compliance

En el contexto de Vinyl, el cumplimiento de FIPS restringe el uso de criptografía a:

• Bibliotecas criptográficas validadas por FIPS.
• Algoritmos criptográficos y tamaños de clave aprobados por FIPS.

La criptografía incluye:

• Generación de números aleatorios
• Hash
• Cifrado
• Firmas digitales
• Almacenamiento y codificación de certificados.

Configuración¶

Vinyl no requiere ninguna configuración especial para permitir el cumplimiento de FIPS.

Vinyl en sí no implementa ningún algoritmo criptográfico. Vinyl delega todas las operaciones criptográficas al sistema operativo alojar. Si el sistema operativo alojar está configurado correctamente, Vinyl utilizará implementaciones validadas por FIPS.

Vinyl genera tokens de seguridad utilizando únicamente algoritmos aprobados por FIPS. Siempre que sea posible, Vinyl afirma que los tokens de seguridad de externo, como las firmas digitales, utilizan únicamente algoritmos aprobados por FIPS.

Habilitar FIPS en Windows¶

En Windows, Utilice algoritmos compatibles con FIPS para cifrado, hash y firma la política del sistema habilita el modo FIPS.

Habilitando FIPS en Linux¶

Linux no tiene equivalente a la política del sistema FIPS de Windows. La habilitación de FIPS en Linux varía según la distribución y está fuera del alcance de este documento. Los siguientes enlaces proporcionan un punto de partida para varias distribuciones:

• RedHat Enterprise Linux
• Ubuntu
• Amazon Linux 2

En última instancia, .NET delega en OpenSSL. Por lo tanto, se debe instalar una despliegue de OpenSSL validada por FIPS. Además, OpenSSL debe configurarse para ejecutarse en modo FIPS, por ejemplo configurando el OPENSSL_FIPS Variable ambiente.

Usos de la Criptografía¶

Vinyl utiliza criptografía en varios subsistemas, que incluyen:

• Generación de identificador de sesión
• Generación de tokens de falsificación de solicitudes entre sitios (CRSF).
• Hash de contraseña
• Generación de clave API
• Generación de contraseña de autenticación básica HTTP
• Firma de firma digital OAuth JWT y SAML
• Verificación de firma digital SAML SSO
• Firma de firma digital del proveedor de identidad SAML
• Verificación de firma digital de Ws-Federation
• Verificación de firma digital JWT SSO
• cifrado de columna
• función de tiempo de ejecución mvSQL RANDOMBYTES()