我们被告知我们公司的WebOMNI系统（运行Windows 2008 IIS 7.0的负载均衡Web服务器）需要符合FIPS 140-2标准，因为其中包含一些CJIS数据。我们已经在该服务器中启用FIPS模式，并且该服务器使用Comodo RSA证书来加密流量。那么，我们如何确认哪些FIPS证书可覆盖我们的配置？如今已确定是证书1008（bcrypt.dll）或者1010（RSAENH），如何对其进行判断？

Michael Cobb：刑事司法信息服务（CJIS）是美国联邦调查局最大的部门，其数据库为美国各地的机构提供刑事司法信息资料库，这些信息包括生物特征、身份历史、财产和病例/事故历史数据，这些信息需得到最好的保护。为此，CJIS安全政策建立了最低安全要求和控制来保护刑事司法信息，涵盖无线网络、远程访问、数据加密和身份验证等领域。CJIS安全政策中的要求和控制严格响应NIST 800-53《为联邦信息系统和组织而推荐的隐私与安全控制》的要求，这也是联邦风险和授权管理计划的基础。

政府机构必须确保其系统和第三方系统（如用于传输、存储或处理刑事司法信息的云服务）符合CJIS安全政策。该安全政策的第5.10.1.2章节对静态或传输中的数据制定了严格且具体的联邦信息处理标准（FIPS）140-2加密标准：“当使用加密时，所使用的加密模块应符合FIPS 140-2标准。”

Windows操作系统有各种加密模块，并封装不同的加密算法，通过API调用可访问。我认为你们公司的服务器在运行Windows Server 2008 R2，而Windows Server 2008的支持已经过期。

微软的Cryptographic Primitives Library是基于软件的加密服务提供程序（BCRYPT.dll），已经通过FIPS 140-2认证，其增强加密提供程序（RSAENH.dll）也是同样，这些算法可通过Microsoft CryptoAPI访问。用户模式应用直接与BCRYPT连接，这是该使用的模块。

在Windows中启用FIPS模式会让其及其子系统仅使用符合FIPS的加密算法进行加密、散列和签名。例如，它不允许使用SSL 2.0以及3.0，因为它们不符合FIPS标准。然而，只是启用FIPS模式并不能确保系统符合CJIS安全政策。该操作系统或者验证加密模块并没有强制执行FIPS模式，这意味着没有检查FIPS模式相关注册表设置，且不依赖于任何Windows子系统的应用仍将继续正常运行，正如在FIPS模式禁用的系统一样，可能会使用不合规的加密算法。因此，最好运行使用经过认证加密模块的应用，同时，软件开发人员必须确保其应用会检查FIPS模式标志注册表设置并强制使用适当的算法。

本文转自d1net（转载）