我們被告知我們公司的WebOMNI系統(tǒng)（運(yùn)行Windows 2008 IIS 7.0的負(fù)載均衡Web服務(wù)器）需要符合FIPS 140-2標(biāo)準(zhǔn)，因?yàn)槠渲邪恍〤JIS數(shù)據(jù)。我們已經(jīng)在該服務(wù)器中啟用FIPS模式，并且該服務(wù)器使用Comodo RSA證書來加密流量。那么，我們?nèi)绾未_認(rèn)哪些FIPS證書可覆蓋我們的配置？如今已確定是證書1008（bcrypt.dll）或者1010（RSAENH），如何對(duì)其進(jìn)行判斷？

Michael Cobb：刑事司法信息服務(wù)（CJIS）是美國聯(lián)邦調(diào)查局最大的部門，其數(shù)據(jù)庫為美國各地的機(jī)構(gòu)提供刑事司法信息資料庫，這些信息包括生物特征、身份歷史、財(cái)產(chǎn)和病例/事故歷史數(shù)據(jù)，這些信息需得到最好的保護(hù)。為此，CJIS安全政策建立了最低安全要求和控制來保護(hù)刑事司法信息，涵蓋無線網(wǎng)絡(luò)、遠(yuǎn)程訪問、數(shù)據(jù)加密和身份驗(yàn)證等領(lǐng)域。CJIS安全政策中的要求和控制嚴(yán)格響應(yīng)NIST 800-53《為聯(lián)邦信息系統(tǒng)和組織而推薦的隱私與安全控制》的要求，這也是聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃的基礎(chǔ)。

政府機(jī)構(gòu)必須確保其系統(tǒng)和第三方系統(tǒng)（如用于傳輸、存儲(chǔ)或處理刑事司法信息的云服務(wù)）符合CJIS安全政策。該安全政策的第5.10.1.2章節(jié)對(duì)靜態(tài)或傳輸中的數(shù)據(jù)制定了嚴(yán)格且具體的聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）140-2加密標(biāo)準(zhǔn)：“當(dāng)使用加密時(shí)，所使用的加密模塊應(yīng)符合FIPS 140-2標(biāo)準(zhǔn)。”

Windows操作系統(tǒng)有各種加密模塊，并封裝不同的加密算法，通過API調(diào)用可訪問。我認(rèn)為你們公司的服務(wù)器在運(yùn)行Windows Server 2008 R2，而Windows Server 2008的支持已經(jīng)過期。

微軟的Cryptographic Primitives Library是基于軟件的加密服務(wù)提供程序（BCRYPT.dll），已經(jīng)通過FIPS 140-2認(rèn)證，其增強(qiáng)加密提供程序（RSAENH.dll）也是同樣，這些算法可通過Microsoft CryptoAPI訪問。用戶模式應(yīng)用直接與BCRYPT連接，這是該使用的模塊。

在Windows中啟用FIPS模式會(huì)讓其及其子系統(tǒng)僅使用符合FIPS的加密算法進(jìn)行加密、散列和簽名。例如，它不允許使用SSL 2.0以及3.0，因?yàn)樗鼈儾环螰IPS標(biāo)準(zhǔn)。然而，只是啟用FIPS模式并不能確保系統(tǒng)符合CJIS安全政策。該操作系統(tǒng)或者驗(yàn)證加密模塊并沒有強(qiáng)制執(zhí)行FIPS模式，這意味著沒有檢查FIPS模式相關(guān)注冊(cè)表設(shè)置，且不依賴于任何Windows子系統(tǒng)的應(yīng)用仍將繼續(xù)正常運(yùn)行，正如在FIPS模式禁用的系統(tǒng)一樣，可能會(huì)使用不合規(guī)的加密算法。因此，最好運(yùn)行使用經(jīng)過認(rèn)證加密模塊的應(yīng)用，同時(shí)，軟件開發(fā)人員必須確保其應(yīng)用會(huì)檢查FIPS模式標(biāo)志注冊(cè)表設(shè)置并強(qiáng)制使用適當(dāng)?shù)乃惴ā?/p>