Door Anoniem: "FIPS-140.2 is uitsluitend voor de Amerikaanse overheid van belang. "
FIPS 140-2 is niet uitsluitend relevant voor de Amerikaanse overheid. Andere overheden hebben deze standaard ook geadopteerd zoals Canada. Tevens zijn alle contractors van deze overheden verplicht om software te gebruiken die aan deze standaard voldoet.
"Waar is voor jou de relevantie?"
Het antwoord zit in de zin voor je vraag. Wanneer je software wil verkopen aan overheden en hunn contractors die aan die standaard moeten voldoen is dit relevant.
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Mocht iemand nog iets te binnen schieten dan hoor ik het graag
Jacco
Uiteraard is geen ander open source alternatief. Enig idee hoeveel de certificatie kost? En hoe zinloos die is (bedenk dat de zeer lekke OpenSSL implementaties ook FIPS compliant waren). Welk Open Source heeft de resources om certificatie te betalen en te behouden? Wat is de incentive hiervoor?
In Europa hoeven we niet te voldoen aan NIST. In Europa hoeven we niet te voldoen aan FIPS. Dus ik herhaal de vraag: waarom denk je FIPS certificatie (of het nu FIPS-140-2 of FIPS 140-3 is) te moeten hebben? Denk je nu echt gekozen te worden voor software voor de Amerikaanse overheid, zeker onder de huidige Amerikaanse regering? Dat is toch wel een naïeve instelling.
Noch de google implementatie BoringSSL, noch de OpenBSD implementatie LibreSSL, noch mbedTLS (het vroegere PolarSSL) zijn of worden FIPS gecertificeerd.
Een goede referentie biedt wikipedia in dit geval: https://en.wikipedia.org/wiki/Comparison_of_TLS_implementations
PS ik was degene op wie je reageerde.