密码学技术很难,而且容易以不明显的方式失效。它对于在不可信网络(例如互联网)上通信的可靠性和完整性也至关重要。检查供应商的密码实现是否优质需要进行大量深入的检查,这远远超出了任何用户合理能力的范围。获得 FIPS 认证证明这项检查是由供应商外部的专家、客观的测试人员完成的。这证明,当供应商声称他们的解决方案是按照高质量和最佳实践构建的时,他们确实做到了。
那么,获得 FIPS 认证就代表了我们产品的质量和安全性吗?
是的。对于我们的AlliedWare Plus操作系统代码,FIPS 评估包括对加密模块 巴林电报号码数据 设计和实现的详细检查——包括全面而详细的源代码检查。FIPS 要求公开透明:当供应商声称其安全性和质量时,源代码必须能够佐证这一点。
在硬件层面,获得 FIPS 2 级认证的产品需要提供物理篡改证据,包括从工厂到用户的完整信任链。(Allied Telesis 已获得C-TPAT 认证,表明其供应链安全可靠。)近年来,供应链攻击(包括物理拦截)已成为一个令人担忧的现实问题。FIPS 认证要求证明硬件未被篡改,以确保其对最终用户而言是值得信赖的。
除了验证代码和硬件的安全性之外,FIPS 还能让最终用户对供应商的流程(用于生成驱动硬件的操作系统固件的软件和开发实践)保持高度信任。FIPS 证明您拥有强大的源代码控制和版本控制,以及可靠的固件签名。用户可以验证其设备固件是否与经过检查、测试和认证的固件完全相同。
密码学很难。它不仅要实现加密功能,还要论证和记录每个方面,这需要对细节极其细致的关注,以及远超常规的详尽检查。