Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile configurare Microsoft Information Protection SDK versione 1.14 e successive per usare la versione convalidata FIPS di OpenSSL 3.0. Per usare il modulo OpenSSL 3.0 convalidato da FIPS, gli sviluppatori devono installare e caricare il modulo FIPS.
Conformità FIPS 140-2
L'SDK di Microsoft Information Protection usa OpenSSL per implementare tutte le operazioni di crittografia. OpenSSL non è conforme a FIPS senza più configurazione da parte dello sviluppatore. Per sviluppare un'applicazione conforme a FIPS 140-2, è necessario configurare OpenSSL in MIP SDK per caricare il modulo FIPS per eseguire operazioni di crittografia anziché le crittografie OpenSSL predefinite.
Installare e configurare il modulo FIPS
Le applicazioni che usano OpenSSL possono installare e caricare il modulo FIPS con la procedura seguente pubblicata da OpenSSL:
- Installare il modulo FIPS seguendo Appendice A: Linee guida per l'installazione e l'utilizzo
- Caricare il modulo FIPS nell'SDK MIP tramite l'impostazione predefinita di tutte le applicazioni per l'utilizzo del modulo FIPS. Configurare la variabile di ambiente OpenSSL_MODULES nella directory contenente il fips.dll.
- (Facoltativo) Configurare il modulo FIPS solo per alcune applicazioni impostando selettivamente l'uso del modulo FIPS per impostazione predefinita
Quando il modulo FIPS viene caricato correttamente, il log di MIP SDK dichiara FIPS come provider OpenSSL.
"OpenSSL provider loaded: [fips]"
Se l'installazione non riesce, il provider OpenSSL rimane predefinito.
"OpenSSL provider loaded: [default]"
Limitazioni di MIP SDK con crittografie convalidate FIPS 140-2:
- Android e macOS non sono supportati. Il modulo FIPS è disponibile in Windows, Linux e Mac.
Requisiti TLS
MIP SDK impedisce l'uso di versioni TLS precedenti alla 1.2, a meno che la connessione non venga stabilita a un server di Active Directory Rights Management.
Algoritmi crittografici in MIP SDK
| Algoritmo | Lunghezza della chiave | Modalità | Comment |
|---|---|---|---|
| AES | 128, 192, 256 bit | BCE, CBC | MIP SDK protegge sempre per impostazione predefinita con AES256 CBC. Le versioni legacy di Office (2010) richiedono AES 128 ECB e i documenti di Office sono ancora protetti in questo modo dalle app di Office. |
| RSA | 2048-bit | non disponibile | Usato per firmare e proteggere la chiave di sessione che protegge un BLOB di chiavi simmetriche. |
| SHA-1 | non disponibile | non disponibile | Algoritmo hash usato nella convalida della firma per le licenze di pubblicazione legacy. |
| SHA-256 | non disponibile | non disponibile | Algoritmo hash usato per la convalida dei dati, la convalida della firma e come chiavi di database. |
Operazioni successive
Per informazioni dettagliate sugli elementi interni e sulle specifiche relative al modo in cui AIP protegge il contenuto, vedere la documentazione seguente: