Go ได้รับการรับรอง FIPS 140-3

 (csrc.nist.gov)
1 คะแนน โดย GN⁺ 1 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Certificate #5247 เป็นรายการรับรอง CMVP สำหรับ Go Cryptographic Module และถูกลงทะเบียนด้วยสถานะ Active ภายใต้มาตรฐาน FIPS 140-3
  • Go Cryptographic Module เป็นไลบรารีซอฟต์แวร์ที่ให้ความสามารถด้านการเข้ารหัสแก่ไลบรารีมาตรฐานของ Go และแอปพลิเคชัน Go อื่น ๆ โดยมีระดับความปลอดภัยรวมเป็น Level 1
  • การรับรองมีผลเมื่อใช้งานใน approved mode และระบุ Sunset Date เป็น 26 เมษายน 2031
  • ประวัติการตรวจรับรองคือ 27 เมษายน 2026 Initial และห้องปฏิบัติการทดสอบคือ Lightship Security, Inc.
  • ผู้จัดหาคือ Geomys LLC ผู้ติดต่อคือ Filippo Valsorda และมีไฟล์ที่เกี่ยวข้องคือ Security Policy

ภาพรวมการรับรอง

  • Certificate #5247 เป็นรายการรับรอง Cryptographic Module Validation Program (CMVP) สำหรับ Go Cryptographic Module
  • มาตรฐานคือ FIPS 140-3 สถานะเป็น Active และลงทะเบียนด้วยระดับความปลอดภัยรวม Level 1
  • ระบุ Sunset Date เป็น 26 เมษายน 2031
  • ประวัติการตรวจรับรองคือ 27 เมษายน 2026 Initial และห้องปฏิบัติการทดสอบคือ Lightship Security, Inc.

ข้อมูลโมดูล

  • Go Cryptographic Module เป็นไลบรารีซอฟต์แวร์ที่ให้ความสามารถด้านการเข้ารหัสแก่ไลบรารีมาตรฐานของ Go และแอปพลิเคชัน Go อื่น ๆ
  • Module Type คือ Software และ Embodiment แสดงเป็น MultiChipStand
  • Security Level Exceptions ถูกลงทะเบียนเป็น Physical security: N/A, Non-invasive security: N/A

เงื่อนไขและข้อจำกัดในการใช้งาน

  • การรับรองมีผลเมื่อใช้งานใน approved mode
  • SSPs ที่ถูกสร้างขึ้น เช่น คีย์ ถูกระบุว่า ไม่มีการรับประกันความแข็งแกร่งขั้นต่ำ
  • SSPs ที่โหลดจากภายนอก เช่น คีย์และบิตสตริง หรือ SSPs ที่ถูกตั้งค่าเป็น externally loaded SSPs ถูกระบุว่า ไม่มีการรับประกันความปลอดภัยขั้นต่ำ

ผู้จัดหาและไฟล์ที่เกี่ยวข้อง

  • Geomys LLC ถูกลงทะเบียนเป็นผู้จัดหา โดยมีที่อยู่ 9450 SW Gemini Dr PMB 52960, Beaverton, OR 97008, United States
  • ผู้ติดต่อระบุเป็น Filippo Valsorda
  • มี Security Policy ให้เป็นไฟล์ที่เกี่ยวข้อง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 1 시간 전
ความคิดเห็นจาก Lobste.rs

  • เป็นเส้นทางที่ค่อนข้างยาวนาน ดูรายละเอียดได้ในโพสต์ของปีก่อน และน่าจะมีโพสต์ใหม่เกี่ยวกับใบรับรองออกมาในเร็ว ๆ นี้
    ตามปกติแล้ว ถ้าคุณไม่แน่ใจว่าต้องใช้ FIPS 140-3 ไหม ก็แปลว่าไม่จำเป็น แต่ถ้าจำเป็นจริง ๆ ก็มั่นใจพอสมควรว่านี่เป็นหนึ่งในวิธีที่ง่ายและปลอดภัยที่สุดที่ Go จะทำได้ การรักษาทั้งการปฏิบัติตามข้อกำหนด FIPS 140-3 และระดับความปลอดภัยกับความสะดวกที่มอบให้ผู้ใช้อื่น ๆ ไปพร้อมกันนั้นยากเป็นพิเศษ แต่คิดว่าทำออกมาได้ดีทีเดียว

    • เราดูแลการติดตั้งแบบ bring-your-own-cloud ขนาดใหญ่ที่ต้องการ การปฏิบัติตาม FIPS ในสภาพแวดล้อมของลูกค้าบางราย แต่น่าเสียดายที่ไม่ได้ใช้ Go เลย การเปลี่ยนแปลงนี้อาจเป็นจุดเริ่มต้นให้หันมาใช้ Go ก็ได้

  • Go ใช้ BoringSSL ไม่ใช่หรือ? สงสัยว่ารับรอง FIPS ได้อย่างไร

    • ไม่ใช่ นั่นเป็นวิธีแก้แบบก่อนหน้า วิธีใหม่เป็น implementation แบบ pure Go จึงไม่ต้องใช้ CGO: https://go.dev/blog/fips140
    • ก่อนหน้านี้การทำให้สอดคล้องกับ FIPS ทำได้โดยใช้ source tree ของ BoringSSL แต่คอมไพล์ให้เข้ากับ OpenSSL ซึ่ง OpenSSL อยู่ในสถานะที่สอดคล้อง และ Red Hat ก็ทำแบบนั้นบน RHEL ส่วนเราก็พึ่งพาวิธีนั้นกับทุก workload ของเรา โดยพื้นฐานแล้วก็เหมือนกับ https://github.com/golang-fips/go
      วิธีใหม่นี้เป็น Go แบบเนทีฟทั้งหมด ไม่ต้องพึ่ง OpenSSL หรือวิธีอ้อมอื่น ๆ อีกต่อไป แต่ใช้ standard library ได้เลย

  • สงสัยว่าจะเกิดผลลัพธ์จริง ๆ แบบไหน ตอนนี้ Go จะกลายเป็นตัวเลือกที่น่าสนใจขึ้นสำหรับบางบริษัทหรือบางองค์กรหรือไม่ หรือเป็นแค่การเปลี่ยนแปลงด้านความปลอดภัยล้วน ๆ

    • ในแง่ความปลอดภัยถือว่า downgrade แต่ทำให้สามารถใช้งานในสภาพแวดล้อมภาครัฐบางแห่งได้
    • ตอนนี้ผู้รับเหมาของกลุ่มอุตสาหกรรมทหารสหรัฐฯ น่าจะจ้างโปรแกรมเมอร์ Go เพิ่มขึ้น และส่งมอบซอฟต์แวร์บนพื้นฐานนั้นได้
    • โดยรวมแล้วมองอย่างระมัดระวังว่าเป็นผลลบต่อความปลอดภัย เพราะใช้รหัสสมัยใหม่อย่าง (X)ChaCha20-Poly1305 ไม่ได้
    • บริษัทของเรามีทั้งผลิตภัณฑ์เชิงพาณิชย์และผลิตภัณฑ์สำหรับภาครัฐ โดยอย่างหลัง FIPS เป็นข้อกำหนดบังคับ ฝั่ง Go เราพึ่งให้ Red Hat จัดการให้ถูกต้อง และผลก็คือได้ไบนารีที่ใช้ได้ในทุกสภาพแวดล้อม

  • ดีเลย เมื่อก่อนเคยต้องใช้ Go build สำหรับ FIPS ของ Red Hat ในการ deploy และไม่ชอบเลยที่ต้องใช้ Go stack ทั้งชุดคนละเวอร์ชัน เพื่อให้ผ่าน FIPS
    ผลิตภัณฑ์จำนวนมากที่ขายให้รัฐบาลสหรัฐฯ ถูกกำหนดให้ต้องใช้ FIPS และเพราะไม่อยากทำทั้งเวอร์ชัน FIPS กับ non-FIPS แยกกัน นี่จึงมีความหมายมากต่อการทำให้บริษัทต่าง ๆ สามารถนำ Go มาใช้ได้