Microsoft Windows SChannel SSPI Самопроверка?

Question

Этот вопрос относится к некоторым спецификациям (FIPS), которые требуют, чтобы модули SChannel, используемые для TLS, выполняли самотестирование перед использованием, чтобы убедиться, что они не были скомпрометированы.FIPS является одним из примеров.В библиотеки с открытым исходным кодом встроены самопроверки. Есть ли у SChannel такая возможность?Я не могу найти какую-либо ссылку на это, но кажется странным, что это было бы опущено.

Я надеюсь, что это делает вопрос менее расплывчатым и двусмысленным.Я полагаю, что на этот вопрос может разумно ответить кто-то, кто хорошо знает API SChannel.

Добавлено: Мое понимание уровня 1 FIPS и уровня 2, безусловно, заключается в том, что работа алгоритмов должнапроверяется во время выполнения (самопроверка), а не только при первоначальной сертификации.Кроме того, изображение в памяти должно быть проверено с помощью хэша или чего-то подобного, чтобы убедиться, что оно не было изменено.

Если эти вещи не выполняются во время выполнения, существует вероятность наличия пропатченной библиотекинет?

Answer 1

Сертификация FIPS достигается для данного набора шифров в данной конфигурации ОС. Сертификация даст вам уровень а Она даст вам уровень, 1 - самый высокий уровень, который вы можете получить на обычном оборудовании, но самый низкий уровень безопасности.

Теперь вернемся к вашему вопросу ...

Начиная с комплектов шифров, используемых SChannel , мы можем перейти к сертификату FIPS с этой страницы .

Согласно сканированию PDF сертификата FIPS (для Windows 7 Ultimate) или сертификата 1337 Windows Server 2008 R2 64 бит , на их второй странице вы видите, что Тесты были сертифицированы на уровне 1.

Так что да, у SChannel есть возможность самопроверки, поскольку она использует возможности самопроверки нижних компонентов. Но если вы возьмете на себя часть ответственности за проверку того, что ваше программное обеспечение использует только сертифицированные компоненты в сертифицированной среде.