Nunca me di cuenta de esto antes de esta pregunta, pero tienes razón. El constructor tiene esta:
public RijndaelManaged()
{
if (Utils.FipsAlgorithmPolicy == 1)
{
throw new InvalidOperationException(Environment.GetResourceString("Cryptography_NonCompliantFIPSAlgorithm"));
}
}
System.Security.Cryptography.AesManaged tiene algo similar:
public AesManaged()
{
if (CoreCryptoConfig.EnforceFipsAlgorithms)
{
throw new InvalidOperationException(SR.GetString("Cryptography_NonCompliantFIPSAlgorithm"));
}
this.m_rijndael = new RijndaelManaged();
this.m_rijndael.BlockSize = this.BlockSize;
this.m_rijndael.KeySize = this.KeySize;
}
¿Ha intentado System.Security.Cryptography.AesCryptoServiceProvider? Debería funcionar ya que usa la implementación FIPS AES basada en CAPI integrada en Windows.
This question en el foro Microsoft .NET Base Class Library analiza qué algoritmos son compatibles con FIPS y tiene buenos enlaces.
Parece que Microsoft está haciendo a consistent effort to obey the setting de HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FIPSAlgorithmPolicy en las máquinas y el uso de la API BCryptGetFipsAlgorithmMode para la post-Vista pre-Vista.
Supongo que hay un esfuerzo no trivial involucrado en certificar una implementación como FIPS compatible, es por eso que Microsoft probablemente no quiere repetir el proceso y solo ofrece el AesCryptoServiceProvider para los clientes que absolutamente necesitan este requisito.
This MSDN blog post tiene un comentario que hace que sea más claro:
La forma más fácil de averiguar si un algoritmo es compatible o no, es a vistazo al sufijo. Ninguno de los * Los tipos administrados tienen certificación FIPS. Sin embargo, los tipos * CryptoServiceProvider y * Cng pueden ser certificados por FIPS . Si implementan un algoritmo que permite FIPS, y son utilizando los proveedores predeterminados de Microsoft, , entonces lo estarán. Por ejemplo, SHA256Administración no es (porque está * Administrado). SHA256CryptoServiceProvider y SHA256Cng son.
MD5CryptoServiceProvider no es (porque MD5 no es un algoritmo FIPS).
Pregunta relacionada: http: // stackoverflow.com/preguntas/371534/asp-net-2-0-cifrado-RijndaelManaged-algoritmo-vs-FIPS –
leí que se podía poner algo como esto en un fichero de configuración: Pero eso no parecía funcionar, la aplicación todavía estaba cerrada. –
SwDevMan81
Ok, conseguí que el indicador forceFIPSPolicy funcionara, resulta que necesitaba agregarlo debajo de todas las etiquetas en la sección de configuración del archivo exe.config, no parece funcionar en la parte superior, encima de configSections y userSettings. Espero que ayude a otros. – SwDevMan81