Windows FIPS 140 驗證

  • 文章

美國聯邦資訊處理標準 (FIPS) 發行集 140 是美國政府標準,可定義 IT 產品中密碼編譯模組的最低安全性需求。 本主題介紹 Windows 密碼編譯模組的 FIPS 140 驗證。 Windows 密碼編譯模組會跨不同的 Microsoft 產品使用,包括 Windows 用戶端操作系統、Windows Server 作業系統和 Azure 雲端服務。

Microsoft 一直致力於符合 FIPS 140 標準的需求,自 2001 年首次建立密碼編譯模組以來,已針對它驗證過密碼編譯模組。 Windows 密碼編譯模組會在密碼編譯 模組驗證計劃 (CMVP) 下進行驗證,這是美國國家標準技術局 (NIST) 與加拿大網路安全中心 (CCCS) 共同合作。 CMVP 會根據密碼編譯模組的安全性需求, (FIPS 140) 和相關 FIPS 密碼編譯標準的一部分來驗證密碼編譯模組。 NIST 資訊技術實驗室會操作 Microsoft 也參與的相關程式: 密碼編譯演演算法驗證計劃 () 認證 FIPS 核准的密碼編譯演算法, 而 Entropy 驗證計劃 會向 NIST SP 800-90B 標準認證 Entropy 來源。

Windows 用戶端操作系統和密碼編譯模組

下列 Windows 用戶端版本包含已完成 FIPS 140 驗證的密碼編譯模組。 按兩下版本以取得詳細數據,包括每個模組的 CMVP 憑證、安全策略檔和演算法範圍。 當 CMVP 憑證驗證標籤包含注意事項 在 FIPS 模式中操作時,必須遵循安全策略中所述的特定設定和安全性規則。

Windows 11 版本

Windows 10 版本

舊版 Windows

Windows Server 操作系統和密碼編譯模組

下列 Windows Server 版本包含已完成 FIPS 140 驗證的密碼編譯模組。 按兩下版本以取得詳細數據,包括每個模組的 CMVP 憑證、安全策略檔和演算法範圍。 當 CMVP 憑證驗證標籤包含注意事項 在 FIPS 模式中操作時,必須遵循安全策略中所述的特定設定和安全性規則。

Windows Server 2019 和 2016 版本

Windows Server 半年版本

舊版 Windows Server

在 FIPS 核准的作業模式中使用 Windows

若要在 FIPS 140 核准的作業模式中使用 Windows 和 Windows Server,必須遵循安全策略檔模組中所述的所有特定設定和安全性規則。 若要檢視或下載指定產品版本的安全策略檔,請流覽至上述各節中版本的 FIPS 140 驗證模組清單,然後選取安全策略檔的連結。

在安全策略檔中概述的組態規則中,Windows 和 Windows Server 可能會設定為以 FIPS 140 核准的作業模式執行,通常稱為「FIPS 模式」。在目前的 Windows 版本中,當您啟用 FIPS 模式設定時,密碼編譯基本類型連結庫 (bcryptprimitives.dll) 和內核模式密碼編譯基本類型連結庫 (CNG.sys) 模組會在 Windows 執行密碼編譯作業之前執行自我測試。 這些自我測試符合 FIPS 140 需求,並確保模組正常運作。 密碼編譯基本類型連結庫和內核模式密碼編譯基本類型連結庫是唯一使用 FIPS 模式組態設定的模組。 FIPS 模式不會控制要使用哪些密碼編譯演算法。 FIPS 模式設定僅供 Windows 中的密碼編譯基本類型連結庫 (bcryptprimitives.dll) 和內核模式密碼編譯基本類型連結庫 (CNG.sys) 元件使用。

判斷 Windows 服務或應用程式是否符合 FIPS 140 規範

Microsoft 會驗證 Windows 和其他產品中使用的密碼編譯模組,而不是個別的 Windows 服務或應用程式。 請連絡服務或應用程式的廠商,以取得其是否 (呼叫已驗證 Windows 密碼編譯模組的相關信息, 由 CMVP 驗證為符合 FIPS 140 需求的模組,並以符合 FIPS 規範的方式發行憑證) (亦即,呼叫 FIPS 140 已驗證的密碼編譯,並根據定義的 FIPS 核准的作業) 模式進行設定。

FIPS 140 和商業網路安全性演算法套件

商業國家安全演算法 (CNSA) 套件是一組由美國國家安全局所支援的密碼編譯演算法,用來取代 NSA Suite B 密碼編譯演算法。 許多 CNSA 密碼編譯演算法也會根據 FIPS 140 標準進行核准。 若要判斷 CNSA 演算法是否包含在 Microsoft 產品中所使用之已驗證的 ALGORITHMP 演演算法範圍中,請流覽至上述各節中產品的 FIPS 140 驗證模組清單,並參考每個已驗證模組所列出的演算法範圍。 每個模組安全策略檔中都有進一步的演算法詳細數據。

FIPS 140 和通用準則認證

FIPS 140 和 通用準則 是兩個互補但不同的安全性標準。 雖然 FIPS 140 會驗證密碼編譯功能,但通用準則會評估 IT 產品中更廣泛的安全性功能選擇。 一般準則評估可能會依賴 FIPS 140 驗證來保證基本密碼編譯功能已正確實作。 如需 Microsoft 通用準則認證計劃的相關信息,請參閱 通用準則認證

Contact

fips@microsoft.com 連絡問題,或提供關於本主題的意見反應。