我到处搜索有关 eCryptFS 加密是否符合 FIPS 140-2 的信息。我找到了有关其他文件系统或块加密的信息并且他们的 FIPS 合规性 我认为,由于 eCryptFS 使用 Open SSL 作为密钥,因此可以通过实现对 OpenSSL FIPS 对象模块的正确调用来使其该部分符合 FIPS 标准。
但是,我不清楚 eCryptFS 中的密码是如何实现的,以及是否需要了解更多有关 FIPS 合规性的信息。
答案1
尽管加密文件系统积极维护典范/乌班图工程师和设计在加密方面是合理的,eCryptFS 从未经过正式评估FIPS 140-2认证或合规性,而且不太可能实现。
全面披露:我是其中之一eCryptFS 的作者和维护者。
答案2
FIPS 140 适用于特定产品。验证加密库并不会使使用它的产品得到验证,验证产品也不会使它的组件得到验证。
FIPS 140 1 级合规性并不是真正的安全认证,它主要是功能认证。为了满足FIPS 140 level 1,您主要需要(当产品在FIPS模式下运行时):
- 仅使用经批准的加密算法。
- 证明算法适用于测试向量。
- 在系统启动时运行一些测试。
- 使用后擦除按键。
- 要经过正式的认证过程。
FIPS 140 2 级及以上有实际的安全要求。
OpenSSL 拥有 FIPS 140 1 级认证这一事实仅有助于认证使用 OpenSSL 的产品,因为必须有人实施了测试和密钥擦除。对于 FIPS 140 1 级,工作几乎只是繁文缛节。
无论如何,ecryptfs 不使用 OpenSSL,因此在 OpenSSL 上所做的工作是无关紧要的。 Ecryptfs 在 Linux 内核中实现。已经有经过 FIPS 140 1 级认证的内核配置,我不记得是否包括使用 Ecryptfs(肯定是 dmcrypt)。