Rendre l'application Web ASP.NET conforme à la norme FIPS?

Question

Je dois comprendre comment rendre une application Web ASP.NET conforme à la norme FIPS. Pour rester simple, j'ai créé une nouvelle application web dans VS 2008. J'ai FIPS activé sur ma machine de développement, car le client utilisant l'application web sera une agence fédérale qui appliquera FIPS.

Je ne peux même compiler la nouvelle application Web - car il me donne l'erreur:

Cette mise en œuvre ne fait pas partie de la plate-forme Windows FIPS algorithmes de chiffrement validés.

J'ai lu la documentation et a ajouté les éléments suivants dans le fichier web.config:

<machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/> 

<enforceFIPSPolicy enabled="false" /> (also tried <enforceFIPSPolicy enabled="0" />) 

mais je reçois toujours cette erreur. Encore une fois, je veux que cela fonctionne avec une nouvelle application Web avant que je tente de le faire fonctionner avec ma solution actuelle. J'utilise .NET 3.5 SP1 pour l'infrastructure.

Toute aide serait grandement appréciée.

Merci.

Chris

Answer 1

si une référence à tout algorithme non conforme FIPS est dans le code, même si jamais réellement utilisé/accessible provoque l'erreur de conformité FIPS. Par exemple, déclarer une variable MD5CryptoServiceProvider sans même l'instancier provoquera l'erreur. Cela inclut d'autres assemblys .NET référencés, assurez-vous donc qu'aucune DLL référencée n'utilise des algorithmes compatibles non-fips.

est ici un site pratique qui répertorie tous les algorithmes FIPS et non FIPS dans .NET http://blog.aggregatedintelligence.com/2007/10/fips-validated-cryptographic-algorithms.html

Answer 2

Il y a deux choses à faire un FIPs d'application new.NET conforme.

1) Dans les paramètres de votre clé machine, utilisez 3DES pour le décryptage et SHA1 pour la validation, comme vous l'avez mentionné dans la question. (Il y a une STIG qui indique que vous devez utiliser SHA1 https://www.stigviewer.com/stig/iis_7.0_web_site/2014-03-25/finding/V-26026)

2) Assurez-vous que le code n'est pas en mode débogage. La section de compilation de votre web.config et les directives de page doivent toutes avoir debug = "false". Débogage = "true" déclenchera l'erreur de conformité FIPs avant que .Net puisse même exécuter la première ligne de code.

Pour Visual Studio pour compiler le code, vous devrez peut-être désactiver fips sur Visual Studio.

Pour studion visuel 2010:

• Ouvert Devenv.exe.config de C: \ Program Files (x86) \ Microsoft Visual Studio 10.0 \ Common7 \ IDE si vous êtes sur x64 OS ou C : \ Program Files \ Microsoft Visual Studio 10.0 \ Common7 \ IDE \ x86 OS

• Trouver tag </runtime> et ajoutez ce qui suit au-dessus de cette ligne:

  <enforceFIPSPolicy enabled="false"/> 
  

• Après la configuration modification devenv ci-dessus ressemblerait à ceci:

  <configuration> 
  <runtime> 
  . 
  . 
  . 
  <enforceFIPSPolicy enabled="false"/> 
  </runtime> 
  </configuration> 
  

• Redémarrer Visual Studio

https://blogs.msdn.microsoft.com/brijs/2010/08/10/issue-getting-this-implementation-is-not-part-of-the-windows-platform-fips-validated-cryptographic-algorithms-exception-while-building-outlook-vsto-add-in-in-vs-2010/

Sources: https://msdn.microsoft.com/en-us/library/w8h3skw9(v=vs.100).aspx

https://blogs.msdn.microsoft.com/webtopics/2009/07/20/parser-error-message-this-implementation-is-not-part-of-the-windows-platform-fips-validated-cryptographic-algorithms-when-net-page-has-debugtrue/

http://forums.asp.net/t/1778719.aspx?+FIPS+validated+cryptographic+algorithms+3DES+machinekey+solution+didnt+work