Go memperoleh sertifikasi FIPS 140-3

 (csrc.nist.gov)
1 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Certificate #5247 adalah sertifikasi CMVP untuk Go Cryptographic Module, dan terdaftar dengan status Active pada standar FIPS 140-3
  • Go Cryptographic Module adalah pustaka perangkat lunak yang menyediakan fungsi kriptografi untuk pustaka standar Go dan aplikasi Go lainnya, dengan tingkat keamanan keseluruhan Level 1
  • Sertifikasi berlaku saat dioperasikan dalam approved mode, dan Sunset Date tercantum sebagai 26 April 2031
  • Riwayat validasi adalah 27 April 2026 Initial, dan laboratorium pengujinya adalah Lightship Security, Inc.
  • Pemasoknya adalah Geomys LLC, kontak yang bertanggung jawab adalah Filippo Valsorda, dan berkas terkait yang disediakan adalah Security Policy

Ringkasan sertifikasi

  • Certificate #5247 adalah entri sertifikasi Cryptographic Module Validation Program (CMVP) untuk Go Cryptographic Module
  • Standarnya adalah FIPS 140-3, statusnya Active, dan tingkat keamanan keseluruhannya terdaftar sebagai Level 1
  • Sunset Date tercantum sebagai 26 April 2031
  • Riwayat validasi adalah 27 April 2026 Initial, dan laboratorium pengujinya adalah Lightship Security, Inc.

Informasi modul

  • Go Cryptographic Module adalah pustaka perangkat lunak yang menyediakan fungsi kriptografi untuk pustaka standar Go dan aplikasi Go lainnya
  • Module Type adalah Software, dan Embodiment ditandai sebagai MultiChipStand
  • Security Level Exceptions terdaftar sebagai Physical security: N/A, Non-invasive security: N/A

Kondisi operasional dan batasan

  • Sertifikasi berlaku saat dioperasikan dalam approved mode
  • Untuk SSP yang dihasilkan, misalnya kunci, dinyatakan tidak ada jaminan kekuatan minimum
  • Untuk SSP yang dimuat dari luar, misalnya kunci dan string bit, atau SSP yang ditetapkan sebagai SSP yang dimuat dari luar, dinyatakan tidak ada jaminan keamanan minimum

Pemasok dan berkas terkait

  • Geomys LLC terdaftar sebagai pemasok, dengan alamat 9450 SW Gemini Dr PMB 52960, Beaverton, OR 97008, United States
  • Kontak yang bertanggung jawab tercantum sebagai Filippo Valsorda
  • Security Policy disediakan sebagai berkas terkait

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Komentar Lobste.rs

  • Perjalanannya cukup panjang. Detailnya bisa dilihat di tulisan tahun lalu, dan tulisan baru tentang sertifikasinya juga akan segera terbit
    Seperti biasa, jika Anda tidak tahu apakah membutuhkan FIPS 140-3, kemungkinan besar Anda tidak membutuhkannya, tetapi jika memang benar-benar membutuhkannya, saya cukup yakin Go adalah salah satu cara termudah dan teraman untuk mencapainya. Menjaga kepatuhan terhadap aturan FIPS 140-3 sambil tetap mempertahankan keamanan dan kemudahan yang selama ini diberikan kepada pengguna lain adalah hal yang sangat sulit, tetapi menurut saya hasilnya cukup baik

    • Kami menangani deployment bring-your-own-cloud skala besar yang memerlukan kepatuhan FIPS di lingkungan pelanggan tertentu, tetapi sayangnya sama sekali tidak menggunakan Go. Perubahan ini bisa menjadi pemicu adopsi Go

  • Bukankah Go menggunakan BoringSSL? Saya penasaran bagaimana itu bisa mendapatkan sertifikasi FIPS

    • Bukan, itu solusi sebelumnya. Pendekatan barunya adalah implementasi Go murni, jadi tidak memerlukan CGO: https://go.dev/blog/fips140
    • Saat ini, kepatuhan FIPS dimungkinkan dengan menggunakan source tree BoringSSL tetapi dikompilasi agar sesuai dengan OpenSSL. OpenSSL berada dalam status patuh, Red Hat melakukannya di RHEL, dan kami juga bergantung pada pendekatan itu untuk semua workload kami. Pada dasarnya mirip dengan https://github.com/golang-fips/go
      Pendekatan baru kali ini sepenuhnya native Go. Tidak lagi OpenSSL atau akal-akalan lain, cukup diselesaikan dengan standard library

  • Saya penasaran hasil nyatanya akan seperti apa. Apakah sekarang Go menjadi pilihan yang lebih menarik bagi sebagian perusahaan atau organisasi, atau ini murni perubahan terkait keamanan?

    • Dari sisi keamanan ini adalah penurunan, tetapi membuatnya bisa dipakai di beberapa lingkungan pemerintah
    • Sekarang kontraktor kompleks industri militer AS bisa merekrut lebih banyak programmer Go dan mengirimkan perangkat lunak berdasarkan itu
    • Secara keseluruhan saya dengan hati-hati menilai ini lebih ke arah negatif bagi keamanan. Karena kripto modern seperti (X)ChaCha20-Poly1305 tidak bisa digunakan
    • Perusahaan kami menyediakan produk komersial dan produk untuk pemerintah, dan untuk yang terakhir FIPS adalah persyaratan wajib. Di sisi Go, kami bergantung pada Red Hat untuk menanganinya dengan benar, dan hasilnya adalah binary yang bisa digunakan di lingkungan mana pun

  • Bagus. Dulu saya pernah mendistribusikan build Go FIPS dari Red Hat, dan saya selalu tidak suka karena demi memenuhi FIPS, seluruh stack Go harus memakai versi yang berbeda
    Banyak produk yang dijual ke pemerintah AS mewajibkan penggunaan FIPS, dan karena tidak ingin membuat versi FIPS dan non-FIPS secara terpisah, ini sangat berarti dalam memungkinkan perusahaan mengadopsi Go