Go, FIPS 140-3 sertifikası aldı

 (csrc.nist.gov)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Certificate #5247, Go Cryptographic Module için CMVP sertifikasıdır ve FIPS 140-3 standardında Active durumda kayıtlıdır
  • Go Cryptographic Module, Go standart kütüphanesi ve diğer Go uygulamalarına kriptografik işlevler sağlayan bir yazılım kütüphanesidir ve toplam güvenlik seviyesi Level 1'dir
  • Sertifika, approved mode ile çalıştırıldığında geçerlidir ve Sunset Date 26 Nisan 2031 olarak belirtilmiştir
  • Doğrulama geçmişi 27 Nisan 2026 Initial olarak yer alır ve test laboratuvarı Lightship Security, Inc.'dir
  • Sağlayıcı Geomys LLC, iletişim sorumlusu ise Filippo Valsorda olarak listelenmiştir; ilgili dosya olarak Security Policy sunulmaktadır

Sertifikaya genel bakış

  • Certificate #5247, Go Cryptographic Module için Cryptographic Module Validation Program (CMVP) sertifika kaydıdır
  • Standart FIPS 140-3, durum Active, toplam güvenlik seviyesi ise Level 1 olarak kayıtlıdır
  • Sunset Date 26 Nisan 2031 olarak belirtilmiştir
  • Doğrulama geçmişi 27 Nisan 2026 Initial olup test laboratuvarı Lightship Security, Inc.'dir

Modül bilgileri

  • Go Cryptographic Module, Go standart kütüphanesi ve diğer Go uygulamalarına kriptografik işlevler sağlayan bir yazılım kütüphanesidir
  • Module Type Software, Embodiment ise MultiChipStand olarak belirtilmiştir
  • Security Level Exceptions, Physical security: N/A ve Non-invasive security: N/A olarak kayıtlıdır

Çalıştırma koşulları ve kısıtlar

  • Sertifika, approved mode ile çalıştırıldığında geçerlidir
  • Üretilen SSP'ler, örneğin anahtarlar için minimum güç garantisi olmadığı belirtilmektedir
  • Harici olarak yüklenen SSP'ler, örneğin anahtarlar ve bit dizgeleri ya da harici yüklenmiş SSP olarak ayarlanan SSP'ler için asgari güvenlik güvencesi olmadığı belirtilmektedir

Sağlayıcı ve ilgili dosyalar

  • Geomys LLC sağlayıcı olarak kayıtlıdır; adresi 9450 SW Gemini Dr PMB 52960, Beaverton, OR 97008, United States'tir
  • İletişim sorumlusu Filippo Valsorda olarak belirtilmiştir
  • Security Policy ilgili dosya olarak sunulmaktadır

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Lobste.rs yorumları

  • Oldukça uzun bir yolculuktu. Ayrıntılar geçen yılki yazıda görülebilir ve sertifikayla ilgili yeni bir yazı da yakında yayımlanacak.
    Her zamanki gibi, FIPS 140-3 gerekip gerekmediğinden emin değilseniz muhtemelen gerekmiyordur; ama gerçekten gerekiyorsa, Go'nun bunu başarmanın en kolay ve en güvenli yollarından biri olduğuna oldukça eminim. FIPS 140-3 kurallarına uyarken diğer kullanıcılara sunduğumuz güvenlik ve kullanım kolaylığını korumak özellikle zordu, ama bence bunu oldukça iyi başardılar.

    • Belirli müşteri ortamlarında FIPS uyumluluğu gerektiren büyük ölçekli bring-your-own-cloud dağıtımlarıyla uğraşıyorum ve ne yazık ki hiç Go kullanmıyoruz. Bu değişiklik Go'yu benimsemek için bir gerekçe olabilir.

  • Go BoringSSL kullanmıyor mu? Bunu nasıl FIPS sertifikalı yaptıklarını merak ediyorum.

    • Hayır, o önceki çözümdü. Yeni yaklaşım saf Go implementasyonu, bu yüzden CGO gerekmiyor: https://go.dev/blog/fips140
    • Şu anda FIPS uyumluluğu, BoringSSL kaynak ağacını kullanıp OpenSSL'e göre derleyerek sağlanabiliyordu. OpenSSL uyumlu durumda; Red Hat bunu RHEL'de yapıyor ve biz de tüm iş yüklerimizde bu yaklaşıma güveniyoruz. Temelde https://github.com/golang-fips/go ile aynı yöntem.
      Bu yeni yaklaşım tamamen yerel Go. Artık OpenSSL ya da başka geçici çözümler yok; doğrudan standart kütüphaneyle çözülüyor.

  • Pratikte ne gibi sonuçlar doğuracağını merak ediyorum. Go artık bazı şirketler ya da kurumlar için daha çekici bir seçenek mi olacak, yoksa bu tamamen güvenlikle ilgili bir değişiklik mi?

    • Güvenlik açısından bir gerileme, ama bazı kamu ortamlarında kullanılabilmesini sağlıyor.
    • Artık ABD askeri-sanayi kompleksi yüklenicileri daha fazla Go programcısı istihdam edip bu temelde yazılım teslim edebilir.
    • Genel olarak güvenlik için eksi hanesine daha yakın olduğunu temkinli şekilde düşünüyorum. Çünkü (X)ChaCha20-Poly1305 gibi modern şifreleri kullanamıyorsunuz.
    • Şirketimiz hem ticari ürünler hem de kamuya yönelik ürünler sunuyor; ikincisinde FIPS zorunlu bir gereksinim. Go tarafında Red Hat'in bunu doğru şekilde halletmesine güveniyoruz ve sonuç olarak her ortamda kullanılabilen ikili dosyalar elde ediyoruz.

  • Güzel. Geçmişte dağıtım için Red Hat'in FIPS Go derlemesini kullanmıştım ama FIPS'i sağlamak için tüm Go yığınında farklı bir sürüm kullanmak zorunda kalmak hiç hoşuma gitmiyordu.
    ABD hükümetine satılan birçok ürün için FIPS kullanımı şart koşuluyor ve insanlar FIPS ile FIPS olmayan sürümleri ayrı ayrı üretmek istemediğinden, bunun şirketlerin Go'yu benimsemesini mümkün kılması açısından büyük önemi var.