JCMVP観察していた日記

my thoughts to JCMVP

Sunset Policy

こんにちは。

CMVPでは、2017年2月1日より有効になったSunset Policyなるものがあります。これによってモジュールの認証の有効期間は5年間に縛られ、試験機関の確認、評価機関の検証なしには認証は無効となります。

これを受けて、2012年2月1日より前に認証を取得したモジュール、FIPS 140-1において認証を取得したモジュールはすべて無効となりました*1足の長い製品を提供しているベンダーにとてはなかなか頭を悩ませるものです。また、一度取得したからといってずっとその認証番号を使ってきたベンダーにも決して歓迎される内容ではありませんでした。

さて、我らがJCMVPにはこの制度はありません。一方で、CMVPとJCMVPは共同認証なるものがあり、差異が無い範囲で片方の認証のみでもう片方も有効になるという素晴らしい制度です(これって未だ有効なのか、少しだけ知りたいです)。

あれ、そうするとこの共同認証を使って、5年が経つとCMVPでは無効だけどJCMVPでは有効、というチグハグな状況ができるのかな?と当然の疑問が沸きます。偶然、過去に協同認証を取得した素晴らしい製品があったので確認ができます!

CMVP側で確認したら、ありましたHistorical Listに。そして、JCMVPではもちろん有効なままですね。

JCMVPには目もくれずCMVPのみを頑張っていらっしゃるベンダー様たちにおかれては、有効期間が無期限のJCMVPをご一考される要素になれば幸いです。あ、調達において意味がないからどうでもいっか。

*1:有効になった当時。無効になっていく賞味期限切れのモジュールは日々増えています。