该问题与某些规范(FIPS)有关,这些规范要求用于TLS的SChannel模块在使用前先进行自检,以验证它们是否未被破坏。 FIPS就是一个例子。在开放源代码库中,内置了自我测试。SChannel是否具有此功能?
我找不到对此的任何引用,但是将其遗漏似乎很奇怪。
我希望这可以使这个问题不再含糊不清。我相信这是一个对SChannel API有深入了解的人可以合理地回答的问题。
添加:
我对FIPS 1级(当然还有2级)的理解是,算法的操作需要在运行时(自检)进行验证,而不仅仅是在最初通过认证时。另外,内存中的图像需要使用散列或其他某种方式进行验证,以确保未更改。
如果在运行时未完成这些操作,是否存在修补库的可能性?
最佳答案
在给定的操作系统配置上,给定的密码套件可获得FIPS认证。认证将为您提供一个等级a它将给您一个等级,1是您可以在常规硬件上达到的最高等级,但最低级别的安全才是明智的。
现在回到您的问题...
从cipher suites used SChannel开始,我们可以逐步发展到FIPS certificate from this page。
根据the PDF scan of the FIPS certificate(适用于Windows 7 Ultimate)或the 1337 certificate of Windows Server 2008 R2 64bits,您可以在其第二页上看到Self-Tests已通过1级认证。
是的,SChannel确实具有自测试功能,因为它利用了较低组件的自测试功能。但是,如果这样可以减轻您的负担,以验证您的软件仅在经过认证的环境中使用经过认证的组件。
关于c++ - Microsoft Windows SChannel SSPI自检?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/9043846/