ddos谨防攻击_高防CDN购买_零误杀-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > ddos谨防攻击_高防CDN购买_零误杀

ddos谨防攻击_高防CDN购买_零误杀

小墨安全管家 2021-07-23 03:33 DDOS防御 89 ℃
DDoS防御

ddos谨防攻击_高防CDN购买_零误杀

为美国联邦政府采购IT系统需要遵守FIPS 140-2。这对美国政府承包商以及项目花费联邦资金的美国州和地点政府也是强制性的。不遵守FIPS=>不购买,而且由于美国政府是IT系统的真正大买家,这是一笔大买卖,每个人都想"遵守FIPS"。在采购之外,它意味着"高质量加密",这激励了很多商业领域,尤其是银行和金融领域,使用符合FIPS的加密技术举行it运营。这篇文章回忆了"合规性"的含义,并提供了一些有关"已验证"和"已批准"的详细信息不仅仅是美国。CMVP(密码模块验证程序)是美国国家标准技术研究所(NIST)和加拿大通信安全机构(CSEC)之间的联合项目。啥是"FIPS 140-2"?FIPS是"联邦信息处理标准",有特别多FIPS标准。FIPS标准号140是FIPS密码学标准FIPS 140-2是FIPS 140的第二次修订版历史:1994年,fips140定义首次定义了对质量密码的要求。fips140标准的更新于2001年公布,标题为fips140-2。这是一具规范链接。如今2017年,FIPS 140-2仍然是标准,但有一具"-3"正在制作中,而且基本有特别长一段时刻了。即使没有更改为"-3",NIST仍然后引入要求,所以2017年的FIPS 140-2与2001年的FIPS 140-2并不彻底相同,当时符合要求的产品不再符合规范要求。标准是相同的,但随着时刻的推移,要求真的会发生变化。FIPS合规性要求仅使用FIPS批准的/NIST推举的加密算法(例如AES、SHA-2)。NIST列表加密必须在NIST验证的加密模块中实现。官方列表加密模块必须置于FIPS模式供应商必须记录怎么以符合FIPS的方式使用系统四行,如今我们有更多需要定义的术语。NIST批准的算法NIST批准的算法列表随着时刻的推移会有一些变化。例如,SHA-1曾经是一具彻底能够答应的hash,然而在2014年底,NIST让SHA-1退役,转而使用SHA-2哈希家族。NIST并不懂SHA-1的碰撞,至少他们没有承认,但他们担心SHA-1不再能胜任加密哈希的工作,于是他们将其从批准的算法列表中删除。2017年2月,Google宣布了第一次SHA-1冲突,link。首先,在Google的伟大工作上的道具;其次,一旦两个数据的数学结果显示产生相同的hash,这么hash就不能在那个咨询题上使用(例如在数字签名中)。所以,NIST在2014年底否决了SHA-1,加密社区在2017年2月公开实现了碰撞。尽管跑得特别好,沙一号有12年的寿命。尽管被称为"死亡",但沙一号在今后数年内仍将以某种形式存在。碰撞是特别难实现的,的确特别难,与很多其他散列相比,SHA-1仍然特别好,然而NIST不再推举它用于数字签名。关于戴着编程帽子的人来讲,这意味着产品必须随着时刻的推移而变化。几年前,Citrix做出了特别大努力,将XenApp和XenDesktop中的所有内容从SHA-1更改为SHA-2。在FIPS模式下,更改散列并放弃使用旧哈希的能力意味着破坏了向后兼容性的某些方面。例如,从一具Citrix接收器接收到一具连接,该接收器只向需要SHA-2的FIPS模式下的XenApp或XenDesktop服务器说SHA-1,您会如何做?想要声明符合FIPS,您必须可以只使用NIST算法。为了让那个世界变得更复杂,我把这篇博文发给了一些Citrix安全专家举行评审,并得到了FIPS批准与NIST推举的区别的描述。反应很好,我把它写在那个地点,转述如下:有一小部分FIPS标准,比如SHA-3,它们有自个儿的FIPS标准号,SHA-3是FIPS 202,AES是FIPS 197。这些基本上FIP"批准"的,然而要获得FIP的批准,他们必须经过联邦公报,这是一具缓慢的过程。有一套更大的NIST标准,CC防御,例如NIST SP 800-185,它是SHA-3衍生函数。这些基本上NIST推举的,它们没有经过联邦公报,于是,关于FIPS 140-2(它本身算是FIPS标准),你还需要并且思量FIPS和NIST标准。大多数人并不在乎区别,但在标准中,"FIPS批准/NIST推举"这句话随处可见。FIPS验证模块FIPS验证的加密模块是独立确定为有效实现的加密模块。请注意,这不仅仅是验证数学是否得到正确答案,它还意味着测试和验证加密模块没有泄漏密钥材料,以及它在其他方面对特定攻击具有特别强的抵御能力。有时人们使用术语"认证"来认证加密模块,但官方术语是"验证的"。加密模块FIPS是否通过验证?关于那个咨询题,允许的回答是"是"和"否"。加密模块是否在NIST列表中?在独立测试实验室向NIST公布报告,讲明加密模块经过测试后,加密模块被放入NIST验证的加密模块列表中。注意到这是花钞票的。获得FIPS验证是一具很有价值的奖励加密模块,认证良好的安全性!要做到这一点,需要模块是"是"的,高质量的,第二,需要一具独立的测试机构验证它是否符合要求。所有这些都需要花钞票,但一旦验证,加密模块就"更值钞票"了,这就流入了产品管道。例如,使用Citrix NetScaler MPX的FIPS版本的Cavium Nitrox加密模块比非FIPS版本中的类似卡更昂贵。那些很关怀加密质量的人(政府、银行、保险公司)最后来会为获得通过验证的加密模块和FIPS合规性支付额外费用。FIPS模式"FIPS模式"是指加密模块有一具开关,能够将其置于一具配置中,防DDoS,它会有意使所有未经批准的加密算法失效。我曾经以为,一旦进入FIPS模式,加密模块就无法退出FIPS模式,智者告诉我,这并不是全部(向后兼容,市场现实)。在FIPS模式下,FIPS模块必须使所有非FIPS加密失败。在Citrix XenApp和XenDesktop中经常会浮上这种事情,当我答应客户查询时发觉,使用Citrix SecureICA加密的连接无法在FIPS模式下连接到服务器,服务器拒绝连接,同时日志中有一条对于拒绝使用非FIPS算法的尝试的条目。回答,是的,这正是它所做的和它应该做的,在FIPS模式下拒绝非FIPS加密。想要一具FIPS配置,请按照下面的FIPS配置文档中的讲明使用TLS。符合FIPS要成为符合FIPS的产品,供应商必须记录怎么以符合FIPS的方式使用产品。这意味着指定怎么按照FIPS指南操作产品。关于有特别多部件的产品,DDoS防御,需要精确的配置细节,关于XenApp和XenDesktop,这些都在那个地点的文档中提供。请参阅标题为"安全标准文档和资源"下的FIPS文档。请注意,文档来自MetaFrame XP FR3,向来到XenApp和XenDesktop的当前版本。我们基本遵从FIPS特别长时刻了。NetScaler FIPS合规性文档在此处,XenMobile在此处。FIPS水平在验证过程中,我描述了加密模块怎么可以抵御攻击而不泄漏密钥材料。这有4个定义的实现级别,称为安全级别。NIST页面有详细信息,快速版本是:差不多安全要求。普通来讲,软件中唯一能达到的级别。这仍然是一具强有力的声明。密码模块必须抵御定时攻击和功率测量攻击,同时加密模块中的"分支"逻辑不得基于密钥中的位而改变。这特别艰难,需要认真的代码才干成功实现。FIPS验证的加密模块是否比计算相同数学的非FIPS模块更好?回答:是的,是的。篡改明显。假如密码模块受到攻击,就会有证据表明它受到了攻击。例如:在印刷电路板上钻的孔,以便在电路板的较低层上接触不到的电线。高概率检测和响应攻击。密码模块检测攻击并采取措施举行谨防。最高级别。那个模块很抗攻击。检测到攻击的大概性特别高(功率、温度、演习),模块包括在被以为受到攻击时主动冲洗所有关键材料的程序。所以,您经常会在FIPS Compliance中看到如此的语句:系统正在使用"级别2"操作的[ABC]加密模块。或者,DDoS防御,系统正在使用Windows操作系统提供的FIPS加密模块(级别1)。摘要FIPS是好的,FIPS合规性是质量安全的声明。FIPS合规性归结为仅使用经批准的加密算法,在通过验证的加密模块中实现,以及在符合FIPS的配置中的部署指南。乔·诺德安全产品经理Windows应用程序交付,Citrix系统


DDoS防御

当前位置:主页 > DDOS防御 > ddos谨防攻击_高防CDN购买_零误杀

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119