Microsoft Information Protection SDK バージョン 1.14 以降は、FIPS 検証済みバージョンの OpenSSL 3.0 を使用するように構成できます。 FIPS 検証済みの OpenSSL 3.0 モジュールを使用するには、開発者が FIPS モジュールをインストールして読み込む必要があります。
FIPS 140-2 コンプライアンス
Microsoft Information Protection SDK では、OpenSSL を使用してすべての暗号化操作を実装します。 OpenSSL は、開発者による構成を増やさずに FIPS に準拠していません。 FIPS 140-2 準拠アプリケーションを開発するには、既定の OpenSSL 暗号ではなく暗号化操作を実行するように FIPS モジュールを読み込むよう、MIP SDK の OpenSSL を構成する必要があります。
FIPS モジュールをインストールして構成する
OpenSSL を使用するアプリケーションは、OpenSSL によって発行された次の手順で FIPS モジュールをインストールして読み込むことができます。
- 付録 A: インストールと使用に関するガイダンスに従って FIPS モジュールをインストールする
- MIP SDK で FIPS モジュールを読み込むには、すべてのアプリケーションが既定で FIPS モジュールを使用するように設定します。 OpenSSL_MODULES環境変数を、 fips.dll を含むディレクトリに構成します。
- (省略可能)一部のアプリケーションについて、アプリケーションが既定で FIPS モジュールを選択的に使用するように構成します。
FIPS モジュールが正常に読み込まれると、MIP SDK ログは FIPS を OpenSSL プロバイダーとして宣言します。
"OpenSSL provider loaded: [fips]"
インストールに失敗した場合、OpenSSL プロバイダーは既定値のままです。
"OpenSSL provider loaded: [default]"
FIPS 140-2 検証済み暗号を使用した MIP SDK の制限事項:
- Android と macOS はサポートされていません。 FIPS モジュールは、Windows、Linux、Mac で使用できます。
TLS の要件
MIP SDK では、Active Directory Rights Management サーバーへの接続が確立されていない限り、1.2 より前のバージョンの TLS の使用は禁止されています。
MIP SDK の暗号化アルゴリズム
| アルゴリズム | キーの長さ | Mode | コメント |
|---|---|---|---|
| AES(高度暗号化標準) | 128、192、256 ビット | ECB、CBC | MIP SDK は、AES256 CBC で常に既定で保護されます。 従来のバージョンの Office (2010) では AES 128 ECB が必要であり、Office ドキュメントは Office アプリによって引き続きこの方法で保護されています。 |
| RSA | 2048 ビット | n/a | 対称キー BLOB を保護するセッション キーの署名と保護に使用されます。 |
| SHA-1 | n/a | n/a | レガシ発行ライセンスの署名検証で使用されるハッシュ アルゴリズム。 |
| SHA-256 | n/a | n/a | データの検証、署名の検証、およびデータベース キーとして使用されるハッシュ アルゴリズム。 |
次のステップ
AIP がコンテンツを保護する方法の内部と詳細については、次のドキュメントを参照してください。