いっこうに話が聞こえないFIPS 140-3ですが、様々な思惑があるかと思います。試験機関のなかでの主権争い、どこまでを要件化するのか、そしてメジャーなベンダー間での争いです。 一時期あった140-3のドラフトでは、DPA/SPAへの耐性も必須になる、ということ…

FIPS 140-2では、Security Levelが1から4まで定義されていて、4がもっとも高いです。このうち、ソフトウェアだけで構成されている暗号モジュールはレベル2までしか取得できません。そうすると、Level 1よりLevel 2の方が良いよねー、と思ってしまいがちです…

ソフトウェアライブラリで毎回頭を悩まされるのが、鍵生成のためのSEEDの確保です。HSMを初めとする、物理的な暗号モジュールの場合はTRNGのチップを用意することや、工場出荷時の段階でSEEDを書き込んでおいてそれを使用する、という逃げ道があるのですがソ…

むかし、むかし、あるところ*1にCMVPというものがありました。政府調達*2のための必須要件だったことも手伝い、その制度は大変に流行しました。ベンダーは競って自社の製品で認証を取得しました。そして、日出づる国もその制度を倣いました。 JCMVPの誕生で…