Validación de FIPS 140-2
El SDK de Microsoft Information Protection versión 1.14 y posteriores se puede configurar para usar la versión validada de FIPS de OpenSSL 3.0. Para usar el módulo OpenSSL 3.0 validado por FIPS, los desarrolladores deben instalar y cargar el módulo FIPS.
Compatibilidad con FIPS 140-2
El SDK de Microsoft Information Protection usa OpenSSL para implementar todas las operaciones criptográficas. OpenSSL no es compatible con FIPS sin más configuración por parte del desarrollador. Para desarrollar una aplicación compatible con FIPS 140-2, OpenSSL en el SDK de MIP debe configurarse para cargar el módulo FIPS para realizar operaciones criptográficas en lugar de los cifrados OpenSSL predeterminados.
Instalación y configuración del módulo FIPS
Las aplicaciones que usan OpenSSL pueden instalar y cargar el módulo FIPS con el siguiente procedimiento publicado por OpenSSL:
- Instalación del módulo FIPS siguiendo el Apéndice A: Guía de instalación y uso
- Cargue el módulo FIPS en el SDK de MIP haciendo que todas las aplicaciones usen el módulo FIPS de forma predeterminada. Configure la variable de entorno OpenSSL_MODULES en el directorio que contiene el fips.dll.
- (Opcional) Configurar el módulo FIPS para algunas aplicaciones solo mediante la realización selectiva de aplicaciones que usan el módulo FIPS de forma predeterminada
Cuando el módulo FIPS se carga correctamente, el registro del SDK de MIP declara FIPS como proveedor de OpenSSL.
"OpenSSL provider loaded: [fips]"
Si se produce un error en la instalación, el proveedor de OpenSSL sigue siendo el valor predeterminado.
"OpenSSL provider loaded: [default]"
Limitaciones del SDK de MIP con cifrados validados con FIPS 140-2:
- No se admiten Android ni macOS. El módulo FIPS está disponible en Windows, Linux y Mac.
Requisitos de TLS
El SDK de MIP prohíbe el uso de versiones de TLS anteriores a la 1.2 a menos que se realice la conexión a un servidor de Active Directory Rights Management.
Algoritmos criptográficos en el SDK de MIP
| Algoritmo | Longitud de clave | Mode | Comentario |
|---|---|---|---|
| AES | 128, 192, 256 bits | ECB, CBC | El SDK de MIP siempre protege de forma predeterminada con AES256 CBC. Las versiones heredadas de Office (2010) requieren AES 128 ECB, y los documentos de Office también se protegen de esta manera en las aplicaciones de Office. |
| RSA | 2048 bits | N/D | Se usa para firmar y proteger la clave de sesión que protege un blob de clave simétrica. |
| SHA-1 | N/D | N/D | Algoritmo hash usado en la validación de firmas para licencias de publicación heredadas. |
| SHA-256 | N/D | N/D | Algoritmo hash usado en la validación de datos, la validación de firmas y como claves de base de datos. |
Pasos siguientes
Para más información sobre los aspectos internos y específicos de cómo AIP protege el contenido, revise la siguiente documentación:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de