Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O SDK da Proteção de Informações da Microsoft versão 1.14 e superior pode ser configurado para usar a versão validada fips do OpenSSL 3.0. Para usar o módulo OpenSSL 3.0 validado pelo FIPS, os desenvolvedores devem instalar e carregar o módulo FIPS.
Conformidade FIPS 140-2
O SDK da Proteção de Informações da Microsoft usa o OpenSSL para implementar todas as operações criptográficas. O OpenSSL não é compatível com FIPS sem mais configuração do desenvolvedor. Para desenvolver um aplicativo compatível com FIPS 140-2, o OpenSSL no SDK do MIP deve ser configurado para carregar o módulo FIPS para executar operações criptográficas em vez das criptografias OpenSSL padrão.
Instalar e configurar o módulo FIPS
Os aplicativos que usam o OpenSSL podem instalar e carregar o módulo FIPS com o seguinte procedimento publicado pelo OpenSSL:
- Instalar o módulo FIPS a seguir Apêndice A: Diretrizes de Instalação e Uso
- Carregue o módulo FIPS no SDK do MIP fazendo com que todos os aplicativos usem o módulo FIPS por padrão. Configure a variável de ambiente OpenSSL_MODULES para o diretório que contém o fips.dll.
- (Opcional) Configurar o módulo FIPS para alguns aplicativos apenas fazendo aplicativos seletivamente usarem o módulo FIPS por padrão
Quando o módulo FIPS é carregado com êxito, o log do SDK do MIP declara FIPS como o provedor OpenSSL.
"OpenSSL provider loaded: [fips]"
Se a instalação falhar, o provedor OpenSSL permanecerá padrão.
"OpenSSL provider loaded: [default]"
Limitações do SDK do MIP com criptografias validadas pelo FIPS 140-2:
- Não há suporte para Android e macOS. O módulo FIPS está disponível no Windows, Linux e Mac.
Requisitos do TLS
O SDK do MIP proíbe o uso de versões TLS antes da 1.2, a menos que a conexão seja feita com um servidor do Active Directory Rights Management.
Algoritmos criptográficos no SDK do MIP
| Algoritmo | Comprimento de chave | Modo | Comentário |
|---|---|---|---|
| AES | 128, 192, 256 bits | BCE, CBC | O SDK de MIP sempre protege por padrão com o CBC AES256. As versões herdadas do Office (2010) exigem o AES 128 ECB e os documentos do Office ainda são protegidos dessa maneira por aplicativos do Office. |
| RSA | 2048 bits | n/a | Usado para assinar e proteger a chave da sessão que protege um blob de chave simétrica. |
| SHA-1 | n/a | n/a | Algoritmo de hash usado na validação de assinatura para licenças de publicação antigas. |
| SHA-256 | n/a | n/a | Algoritmo de hash usado na validação de dados, validação de assinatura e como chaves de banco de dados. |
Próximas etapas
Para obter informações sobre os aspectos internos e específicos de como a AIP protege o conteúdo, consulte a seguinte documentação: