Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le SDK Microsoft Information Protection version 1.14 et versions ultérieures peut être configuré pour utiliser la version validée FIPS d’OpenSSL 3.0. Pour utiliser le module OpenSSL 3.0 validé par FIPS, les développeurs doivent installer et charger le module FIPS.
Conformité FIPS 140-2
Le Kit de développement logiciel (SDK) Microsoft Information Protection utilise OpenSSL pour implémenter toutes les opérations de chiffrement. OpenSSL n’est pas conforme FIPS sans plus de configuration par le développeur. Pour développer une application conforme FIPS 140-2, OpenSSL dans le SDK MIP doit être configuré pour charger le module FIPS pour effectuer des opérations de chiffrement au lieu des chiffrements OpenSSL par défaut.
Installer et configurer le module FIPS
Les applications utilisant OpenSSL peuvent installer et charger le module FIPS avec la procédure suivante publiée par OpenSSL :
- Installer le module FIPS suivant l’annexe A : Guide d’installation et d’utilisation
- Chargez le module FIPS dans le Kit de développement logiciel (SDK) MIP en rendant toutes les applications utilisant le module FIPS par défaut. Configurez la variable d’environnement OpenSSL_MODULES sur le répertoire contenant le fips.dll.
- (Facultatif) Configurer le module FIPS pour certaines applications uniquement en faisant en sorte que certaines applications utilisent par défaut le module FIPS
Lorsque le module FIPS est correctement chargé, le journal du SDK MIP déclare FIPS en tant que fournisseur OpenSSL.
"OpenSSL provider loaded: [fips]"
Si l’installation échoue, le fournisseur OpenSSL reste par défaut.
"OpenSSL provider loaded: [default]"
Limitations du SDK MIP avec des chiffrements validés FIPS 140-2 :
- Android et macOS ne sont pas pris en charge. Le module FIPS est disponible sur Windows, Linux et Mac.
Configuration requise pour TLS
Le SDK MIP interdit l’utilisation des versions TLS antérieures à la version 1.2, sauf si la connexion est établie à un serveur Active Directory Rights Management.
Algorithmes de chiffrement dans le SDK MIP
| Algorithme | Longueur de la clé | Mode | Commentaire |
|---|---|---|---|
| AES | 128, 192, 256 bits | BCE, CBC | Le SDK MIP protège toujours par défaut avec AES256 CBC. Les versions héritées d’Office (2010) nécessitent AES 128 BCE et les documents Office sont toujours protégés de cette façon par les applications Office. |
| RSA | 2 048 bits | n/a | Utilisé pour signer et protéger la clé de session qui protège un blob de clé symétrique. |
| SHA-1 | n/a | n/a | Algorithme de hachage utilisé dans la validation de signature pour les licences de publication héritées. |
| SHA-256 | n/a | n/a | Algorithme de hachage utilisé dans la validation des données, la validation de signature et comme clés de base de données. |
Étapes suivantes
Pour plus d’informations sur les éléments internes et les spécificités de la façon dont AIP protège le contenu, consultez la documentation suivante :