Go को FIPS 140-3 प्रमाणन मिला

 (csrc.nist.gov)
1 पॉइंट द्वारा GN⁺ 2 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Certificate #5247 Go Cryptographic Module के लिए CMVP प्रमाणन है, और FIPS 140-3 मानक में Active स्थिति के साथ पंजीकृत है
  • Go Cryptographic Module एक software library है जो Go standard library और अन्य Go applications को cryptographic functionality प्रदान करती है, और इसका कुल सुरक्षा स्तर Level 1 है
  • यह प्रमाणन approved mode में संचालन होने पर लागू होता है, और Sunset Date 26 अप्रैल 2031 के रूप में दर्ज है
  • validation history में 27 अप्रैल 2026 Initial दर्ज है, और परीक्षण संस्था Lightship Security, Inc. है
  • vendor Geomys LLC है, संपर्क व्यक्ति Filippo Valsorda हैं, और संबंधित फ़ाइल के रूप में Security Policy उपलब्ध है

प्रमाणन अवलोकन

  • Certificate #5247 Go Cryptographic Module के लिए Cryptographic Module Validation Program(CMVP) की प्रमाणन प्रविष्टि है
  • मानक FIPS 140-3 है, स्थिति Active है, और कुल सुरक्षा स्तर Level 1 के रूप में पंजीकृत है
  • Sunset Date 26 अप्रैल 2031 के रूप में दर्ज है
  • validation history में 27 अप्रैल 2026 Initial दर्ज है, और परीक्षण संस्था Lightship Security, Inc. है

मॉड्यूल जानकारी

  • Go Cryptographic Module एक software library है जो Go standard library और अन्य Go applications को cryptographic functionality प्रदान करती है
  • Module Type Software है, और Embodiment MultiChipStand के रूप में दर्ज है
  • Security Level Exceptions में Physical security: N/A, Non-invasive security: N/A पंजीकृत हैं

संचालन शर्तें और सीमाएँ

  • यह प्रमाणन approved mode में संचालन होने पर लागू होता है
  • generated SSPs, जैसे keys, के लिए न्यूनतम strength assurance नहीं है ऐसा निर्दिष्ट है
  • externally loaded SSPs, जैसे keys और bit strings, या externally loaded SSPs के रूप में सेट किए गए SSPs के लिए न्यूनतम security assurance नहीं है ऐसा निर्दिष्ट है

vendor और संबंधित फ़ाइलें

  • Geomys LLC vendor के रूप में पंजीकृत है, और पता 9450 SW Gemini Dr PMB 52960, Beaverton, OR 97008, United States है
  • संपर्क व्यक्ति Filippo Valsorda के रूप में दर्ज हैं
  • Security Policy संबंधित फ़ाइल के रूप में उपलब्ध है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2 시간 전
Lobste.rs प्रतिक्रियाएँ

  • यह काफ़ी लंबा सफ़र रहा। ज़्यादा जानकारी पिछले साल की पोस्ट में देखी जा सकती है, और सर्टिफिकेट पर एक नई पोस्ट भी जल्द आने वाली है
    हमेशा की तरह, अगर आपको नहीं पता कि FIPS 140-3 की ज़रूरत है या नहीं, तो शायद इसकी ज़रूरत नहीं है; लेकिन अगर सच में ज़रूरत है, तो मुझे काफ़ी भरोसा है कि Go इसे हासिल करने के सबसे आसान और सुरक्षित तरीकों में से एक है। FIPS 140-3 नियमों का पालन करते हुए भी दूसरे users को दी जाने वाली security और convenience बनाए रखना ख़ास तौर पर मुश्किल था, लेकिन मेरा मानना है कि यह काफ़ी अच्छी तरह किया गया है

    • हम कुछ खास customer environments में FIPS compliance की ज़रूरत वाले बड़े bring-your-own-cloud deployments संभालते हैं, लेकिन अफ़सोस कि हम Go बिल्कुल इस्तेमाल नहीं करते। यह बदलाव Go अपनाने की वजह बन सकता है

  • क्या Go BoringSSL इस्तेमाल नहीं करता? यह जानने की जिज्ञासा है कि उसे FIPS certification कैसे मिला

    • नहीं, वह पुराना समाधान था। नया तरीका pure Go implementation है, इसलिए CGO की ज़रूरत नहीं है: https://go.dev/blog/fips140
    • अभी तक FIPS compliance, BoringSSL source tree का इस्तेमाल करके लेकिन OpenSSL के मुताबिक compile करके हासिल की जा सकती थी। OpenSSL compliant है, Red Hat RHEL में ऐसा करता है, और हम भी अपने सभी workloads में उसी तरीके पर निर्भर हैं। मूल रूप से यह https://github.com/golang-fips/go जैसा तरीका है
      यह नया तरीका पूरी तरह native Go है। अब OpenSSL या किसी और workaround की ज़रूरत नहीं, यह सीधे standard library से हल हो जाता है

  • असल में इससे क्या नतीजे निकलेंगे, यह जानने की उत्सुकता है। क्या अब Go कुछ कंपनियों या संगठनों के लिए ज़्यादा आकर्षक विकल्प बन जाएगा, या यह सिर्फ़ security से जुड़ा बदलाव है?

    • security के नज़रिए से यह downgrade है, लेकिन इससे कुछ सरकारी environments में इसका इस्तेमाल संभव हो जाता है
    • अब अमेरिका के military-industrial complex के contractors ज़्यादा Go programmers hire कर सकेंगे और उसी आधार पर software deliver कर सकेंगे
    • कुल मिलाकर, मुझे सावधानी से लगता है कि यह security के लिए नकारात्मक के काफ़ी करीब है। क्योंकि (X)ChaCha20-Poly1305 जैसे modern ciphers इस्तेमाल नहीं किए जा सकते
    • हमारी कंपनी commercial products और government products दोनों देती है, और दूसरे वाले में FIPS अनिवार्य requirement है। Go के मामले में हम इस बात पर निर्भर हैं कि Red Hat इसे सही तरीके से संभाले, और नतीजे में ऐसा binary मिलता है जिसे किसी भी environment में इस्तेमाल किया जा सकता है

  • बढ़िया। मैंने पहले Red Hat के FIPS Go build का इस्तेमाल करके deploy किया है, लेकिन FIPS पूरा करने के लिए पूरे Go stack का अलग version इस्तेमाल करना पड़ता था, यह बात मुझे हमेशा पसंद नहीं आई
    अमेरिकी सरकार को बेचे जाने वाले कई products में FIPS का इस्तेमाल अनिवार्य होता है, और वे FIPS version और non-FIPS version अलग-अलग बनाना नहीं चाहते, इसलिए यह इस बात के लिए बहुत मायने रखता है कि कंपनियाँ Go अपना सकें