JQAのサイトが相変わらず酷い。 暗号モジュール試験とは、暗号モジュールが、その内部に格納するセキュリティ機能 内部に格納するセキュリティ機能って何よ。。。どこかの怪しい海外サイトの機械翻訳にしかみえない表現のオンパレードです。。。平文→暗号モ…

2009年だけでCMVPが認証したモジュールは150件超ありますが、対するJCMVPは4件です（2009/12/9時点）。CMVPがスタートしてから3年間は12件しか認証がなかったので、それに比べると3年間で10件は悪くない線ですが、寂しいですね。 JCMVPが悲しい現状を打破す…

だいぶ久しぶりにQ&Aを読んでみましたが相変わらずですね。とても読者を考えて作られたとは思えないレベルです。表記の揺れも目立ちます。 なぜ、暗号モジュールをJCMVP で認証することは重要なのでしょうか 、と聞いているのに、 暗号モジュール認証取得の…

11/16追記：11/10に運用ガイダンスが更新され、本問題は解消されました。基本的にJCMVPのサイトが更新されないと書くことがありません。ということで久しぶりにニュースがありました。 IPA (独立行政法人情報処理推進機構、理事長: 西垣 浩司) は、「暗号モ…

初めて「暗号モジュール試験及び認証制度に関するQ&A」を読みましたが酷いできですね。 酷いところは、 そもそも日本語としておかしい 質問に対する答えになっていない 一番最初の「JCMVPとは何ですか」からおかしい。JCMVPってなに？教えてIPA！ 暗号モジュ…

JCMVPで認証された製品は一覧になっていて、そこからセキュリティポリシー（SP）と認証書が確認できるのですが、SPを読んでいると、とっても違和感を覚えるのです。それは、無理矢理な日本語訳とどうしても日本語にできなかったため、残る英語表記です。たと…

ずっと放置していましたが、昔の上司と飲んだので、昔のことを思い出しながらカキカキ。JCMVPの運用ガイダンスが先日更新されました。 質問 既にFIPS140-2認証を取得している暗号モジュールについて、JCMVP制度の要求事項を満足していることを示すためにJCMV…

暗号アルゴリズム確認制度なるものが発表されました。 米国ではCAVPと呼ばれていますね。 流れとしては、 試験機関がテストベクトルを生成し、 ベンダーはそれを自社の暗号モジュールで処理し、 その結果を試験機関に返送し、 問題がなければ認証機関に伝え …

CMVP/JCMVPでは、試験機関が暗号モジュールを評価し、 その報告書を認証機関が認証します。 そのため、試験機関が暗号モジュールを評価するための 知識を有していることが大変重要です。 先日新しい試験機関がJCMVPで認定されました。 この試験機関のwebsite…

FIPS 140-2のArea 1では、暗号モジュールの仕様を定めることが要求されています。 まずはモジュールの形状を以下の三種類から決めます single chip multi-chip embedded multi-chip standalone Single chipはそのままです。スマートカードとかですね。 multi…

暗号モジュールが守る必要があるのは、鍵とCSPです。 、といってもCSPは鍵を含むので、CSPだけ、とも言えるのですが。。。 CSPはCritical Security Parameterの略称です。 鍵はEncryption Keyですので、共通鍵、秘密鍵が対象になります。 公開鍵は改ざんから…

暗号モジュール ソフトウェア ハードウェア） ファームウェア 上記3つの組み合わせ 暗号モジュールはApproved Algorithmsを少なくとも1つは実装していなければならない Approved Algorithms 使用することが許可されている暗号アルゴリズム FIPS 140-2だとAES…

あけましておめでとうございます。 今後はこんな話題を取り上げたいと思います。 FIPS 140-2の解説 JCMVPで認証を取得したセキュリティポリシーの解説から見る、JCMVPの有様 FIPS 140-3は未だ進展しませんねぇ。1st Draftが公開されているので、WSを一度やっ…