Was ist FIPS?

  • Hallo allerseits,


    im Kryptografiemodul von TB 1.5 kann man FIPS aktivieren. Habe ich getan auf der Suche nach einem anderen Fehler. Leider war das nicht der richtige Punkt, jetzt kommen laufend Fehlermeldungen weil irgendwelche Zertifikate fehlen.
    Ich kann FIPS nicht mehr abschalten, der Punkt ist grau.
    Deshalb:
    1. Was ist FIPS?
    2. Wie bekomme ich's wieder aus?


    bye
    Micha

  • Hi Micha,


    deine Frage scheint nicht ganz einfach zu sein, und selbst ich, der sich seit vielen Jahren mit diesem Fachgebiet befasst, muss passen.


    FIPS: Federal Information Processing Standard, (FIPS) ist die Bezeichnung für technische Standards, die das Institute of Computer Sciences and Technology (ICST) in den USA herausgibt.
    Etwa anderes ist mir nicht geläufig - und ich kann ein Kryptomodul namens FIPS auch nicht zuordnen. Und ich habe selbiges auch noch nie benutzt ... .


    Ich habe jetzt erstmalig mal FIPS aktiviert - und auch bei mir waren alle (sehr viele!) Zertifikate verschwunden. Zum Glück waren sie nach einem Neustart des TB alle wieder da (so dass ich meine Sicherheitskopie des Profiles nicht benutzen musste ... .).


    Mehr kann ich dazu nicht beitragen, leider.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Korrektur meines letzten Beitrages:


    Mir hat die Sache keine Ruhe gelassen und ich habe noch etwas gegooglet:
    Im TB und auch im FF ist das "FIPS 140-1-Modul" als zusätzliches Kryptomodul eingebaut.


    Wikipedia:
    FIPS PUBS 140-1 and 140-2
    Federal Information Processing Standards Publications (FIPS PUBS) 140 is a US government standard for implementations of cryptographic modules — hardware or software that encrypts and decrypts data or performs other cryptographic operations (such as creating or verifying digital signatures). Many products sold to the US government must comply with one or more of the FIPS standards.


    Und in folgendem Artikel können Interessierte mehr über die integrierten kryptologie der Mozilla-Produkte lesen:
    http://www.cio.gov/fbca/presentations/mozilla_crypto_pki.pdf


    Ich habe es noch nicht getestet, aber ich vermute mal, dass man "FIPS" aktivieren kann und danach noch einmal alle seine Zertifikate eingeben muss, um mit Ihnen zu arbeiten. Inwieweit dieses für uns als private Nutzer Sinn macht oder notwendig ist, wage ich zu bezweifeln.
    Meine zweite Vermutung in dieser Richtung ist, dass Mozilla damit für den US-Amerikanischen Markt etwas eingebaut hat, damit TB und FF in Behörden usw. genutzt werden dürfen. Wäre also sinngemäß gleichzusetzten mit einer BSI-Zulassung für diese Produkte ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Na gut, dann lassen wir lieber die Finger davon. Ich habe es inzwischen auch wieder abschalten können. Keine Ahnung warum, aber plötzlich war das deaktivieren wieder möglich...


    bye und danke!
    Micha

  • Hi Vic~,


    ja, das hatte ich auch schon gefunden.
    Meine Frage bzw. Unklarheit war, was der "FIPS-Button" nun eigentlich bewirkt. Es sieht so aus, dass ich neben der Mozilla-eigenen Kryptologie eine alternative (FIPS-zugelassene) Engine benutzen kann. Die Begründung dafür haben wir ja beide erkannt und in unseren Beiträgen genannt. Ob meine/unsere Vermutung wirklich zutrifft, könnte man ja mal testen. Aktivieren, alle Zertifikate neu importieren usw. ... .


    Bei uns in DL ist das allerdings kaum relevant. Wenn ich hier "vertrauliche Daten" bearbeiten und übertragen will, dann kann damit lediglich die niedrigste Stufe (VS-NfD) gemeint sein und es ist auch in diesem Fall immer eine BSI-Zulassung erforderlich. Und automatische Updates und BSI-Zulassung schließen sich ja von vorn herein aus ... . Aus diesem Grund werden hier auch handelsübliche (CotS-)Produkte wie LoNo oder Outlook in Verbindung mit einem intensiv geprüften und zugelassenen Plugin eingesetzt. Dort wird also die S/MIME-Kryptologie ins Plugin ausgelagert. Und dieses Plugin kann man dann bei Bedarf wieder in einer neuen zugelassenen Version bereitstellen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!