Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El SDK de Microsoft Information Protection versión 1.14 y posteriores se puede configurar para usar la versión validada de FIPS de OpenSSL 3.0. Para usar el módulo OpenSSL 3.0 validado por FIPS, los desarrolladores deben instalar y cargar el módulo FIPS.
Cumplimiento de FIPS 140-2
El SDK de Microsoft Information Protection usa OpenSSL para implementar todas las operaciones criptográficas. OpenSSL no es compatible con FIPS sin más configuración por parte del desarrollador. Para desarrollar una aplicación compatible con FIPS 140-2, OpenSSL en el SDK de MIP debe configurarse para cargar el módulo FIPS para realizar operaciones criptográficas en lugar de los cifrados OpenSSL predeterminados.
Instalación y configuración del módulo FIPS
Las aplicaciones que usan OpenSSL pueden instalar y cargar el módulo FIPS con el siguiente procedimiento publicado por OpenSSL:
- Instalación del módulo FIPS siguiendo el Apéndice A: Guía de instalación y uso
- Cargue el módulo FIPS en el SDK de MIP haciendo que todas las aplicaciones usen el módulo FIPS de forma predeterminada. Configure la variable de entorno OpenSSL_MODULES en el directorio que contiene el fips.dll.
- (Opcional) Configurar el módulo FIPS para algunas aplicaciones únicamente mediante configurar aplicaciones para que utilicen el módulo FIPS de manera selectiva por defecto
Cuando el módulo FIPS se carga correctamente, el registro del SDK de MIP declara FIPS como proveedor de OpenSSL.
"OpenSSL provider loaded: [fips]"
Si se produce un error en la instalación, el proveedor de OpenSSL sigue siendo el valor predeterminado.
"OpenSSL provider loaded: [default]"
Limitaciones del SDK de MIP con cifrados validados con FIPS 140-2:
- No se admiten Android ni macOS. El módulo FIPS está disponible en Windows, Linux y Mac.
Requisitos de TLS
El SDK de MIP prohíbe el uso de versiones TLS anteriores a la 1.2 a menos que se realice la conexión a un servidor de Active Directory Rights Management.
Algoritmos criptográficos en el SDK de MIP
| Algoritmo | Longitud de clave | Mode | Comentario |
|---|---|---|---|
| AES | 128, 192, 256 bits | ECB, CBC | El SDK de MIP siempre protege de forma predeterminada con CBC de AES256. Las versiones heredadas de Office (2010) requieren AES 128 ECB y los documentos de Office siguen estando protegidos de esta manera por las aplicaciones de Office. |
| RSA | 2048 bits | n/a | Se usa para firmar y proteger la clave de sesión que protege un blob de clave simétrica. |
| SHA-1 | n/a | n/a | Algoritmo hash usado en la validación de firmas para licencias de publicación heredadas. |
| SHA-256 | n/a | n/a | Algoritmo hash usado en la validación de datos, validación de firma y como claves de base de datos. |
Pasos siguientes
Para más información sobre los aspectos internos y específicos de cómo AIP protege el contenido, revise la siguiente documentación: