Conseils sur la version Dell BSAFE™ Crypto Module for C 3.0

Initialement annoncé le 7 décembre 2022

Announcement (Annonce)

Dell BSAFE Crypto Module for C est le dernier kit de développement logiciel (SDK) pour les développeurs C, de la famille de produits BSAFE, qui permet l’utilisation du chiffrement validé FIPS 140 dans les produits qu’ils développent.

Vous trouverez ci-dessous les principales modifications par rapport à la version précédente :

• L’auto-test de l’algorithme cryptographique (CAST), exécuté précédemment pour tous les algorithmes approuvés FIPS 140-3 lors du chargement du module, est désormais exécuté pour chaque algorithme lors de la première utilisation uniquement.
• Ajout de la prise en charge de la génération de clés à courbe elliptique (EC), de la validation de clé, de l’échange de clés ECDH, ainsi que de la signature et de la vérification ECDSA.
• Ajout de la prise en charge de la génération de clés Diffie-Hellman (DH), de la validation de clé et de l’échange de clés.
  • La prise en charge inclut les paramètres DH nommés FFHDE et MODP standard, conformément aux RFC 7919, RFC 3526 et RFC 7296.
• Ajout de la prise en charge de la génération et de la validation des clés DSA, ainsi que de la signature et de la vérification DSA.
• Ajout de la prise en charge de la génération de paramètres DSA
• Ajout de la prise en charge des modes de chiffrement AES suivants :
  • Mode AES CFB 64 bits, ajouté en tant qu’algorithme non conforme à la norme FIPS.
  • Mode de remplissage de vol de texte chiffré AES CBC-CS3, ajouté en tant que mode validé FIPS 140-3.
  • Mode AES CFB 128 bits, ajouté en tant qu’algorithme validé par FIPS 140-3.
  • Mode AES OFB 128 bits, ajouté en tant qu’algorithme validé FIPS 140-3.
• Ajout de la prise en charge des digests SHA-3.
• Ajout de la prise en charge des algorithmes de synthèse de longueur variable SHAKE-128 et SHAKE-256.
• La prise en charge de HMAC est étendue pour permettre HMAC avec SHA2-224, SHA2-512/224 et SHA2-512/256, ainsi que tous les formulaires SHA3.
• Ajout de la prise en charge de CMAC avec AES et GMAC avec l’algorithme AES.
• Ajout de la prise en charge des fonctions de dérivation clés suivantes :
  • HKDF (extraction et extension) basée sur HMAC
  • KDF en une étape KDF tel que défini par SP 800-56C Rev. 1
  • SSH KDF tel que défini par SP 800-135 Rév.1
  • Fonction pseudo aléatoire TLS (PRF) KDF, pour TLS v1.0/v1.1 et TLS v1.2
  • KDF X9,63, comme décrit dans la norme ANSI X9.63.
• Ajout de la prise en charge de plusieurs appels de mise à jour/fin Digest et MAC.
• Fourniture d’un identifiant, BCM_ALG_DRBG_DEFAULT, pointant vers l’algorithme DRBG par défaut du système.
• Ajout de la prise en charge de l’encapsulation et du déballage des clés à l’aide de clés RSA asymétriques avec remplissage PKCS #1 ou OAEP.
• Ajout de la prise en charge de l’encapsulation et de la désencapsulation des clés de chiffrement de contenu à l’aide du format CMS PasswordRecipientInfo tel que défini par la RFC 3211.
• Ajout de la prise en charge de l’importation et de l’exportation des clés RSA formatées PublicKeyInfo et PrivateKeyInfo .
• Ajout de la prise en charge des plug-ins de chiffrement, pour permettre l’utilisation de nouveaux algorithmes via une architecture de plug-ins.

Vous trouverez ci-dessous les modifications par rapport à la version précédente :

• API HMAC ajoutées pour prendre en charge les algorithmes validés SHA2-224, SHA2-512/224 et SHA2-512/256 FIPS 140-3.
• L’exportation des données de clé sensibles à partir du module en texte brut est limitée aux clés marquées comme exportables
• BCM_verify_RSA_PSS() mise à jour pour vérifier la longueur du sel PSS. Pour plus d’informations, reportez-vous à la section Guide de migration du Guide du développeur Dell BSAFE Crypto Module for C.
• Le format par défaut pour l’importation et l’exportation des clés RSA est passé de PKCS #1 à PublicKeyInfo et PrivateKeyInfo.

Le module cryptographique BSAFE pour C version 3.0 a été soumis pour validation FIPS 140-3 en décembre 2022. Pour afficher l’état actuel de la soumission, voir État FIPS 140 des modules cryptographiques BSAFE

Pour plus d’informations et pour connaître les téléchargements, consultez la page Comment demander le téléchargement d’un produit Dell BSAFE.